Артём Синицын Microsoft Consulting Services IS 305

Стратегия защиты конечных устройств Что такое FEP Технологии защиты FEP Интеграция FEP с Configuration Manager Развёртывание и обновление Политики и контроль соответствия Мониторинг и отчеты Демонстрация Вопросы и…ответы

DIRECT ACCESS

Низкая стоимость внедрения Использует ConfigMgr в качестве платформы Поддерживает любые варианты топологи ConfigMgr Простая миграция Поддержка всех клиентских и серверных ОС Windows Защита без падения производительности Защита от вирусов, шпионского ПО, руткитов Конфигурация по умолчанию ориентирована на высокий уровень производительности Интеграция с Брандмауэром Windows Облачные сервисы - Malware Research and Response Объединенная защита и управление Единый интерфейс Единый механизм создания и контроля политик Централизованное оповещение Отчеты включают информацию о конфигурации и защите

Уровень сети Уровень файловой системы Уровень приложений Защита от известных угроз Защита от известных угроз Защита от неизвестных угроз AntimalwareAntimalware Dynamic Translation & Emulation Поведенческий анализ Windows Resource Protection Data Execution Protection AppLockerAppLocker Address Space Layer Randomization Интеграция с Windows Firewall FEP 2010 Windows 7 Internet Explorer 8 SmartScreen Anti-malware & Anti-Rootkit Anti-Rootkit Dynamic Translation & Emulation Поведенческий анализ Интеграция с Windows Firewall Центр защиты от вредоносного ПО MMPC Службы динамических обновлений DSS IDS/IPS (Network Inspection System)

Защита в реальном времени SpyNet / MRS Перед запуском вируса После запуска вируса Сканирование по расписанию/по требованию Сигнатуры/Эвристика Базовые сигнатуры Служба динамических обновлений DSS Улучшенное Новое Поведенческий анализ/ Мониторинг ядра Сценарии поведения Портал MMPC Улучшенное восстановление

Графический интерфейс Интеграция с центром безопасности Windows Ядро Anti- Malware Поведенческий анализ Обнаружение руткитов Spynet/MRS Обратная связь Портал MMPC Microsoft Update Сигнатуры RTP/ Minifilter

HANDLE hFile; hFile = CreateFile(L"NewVirus.exe", GENERIC_WRITE, 0, NULL, CREATE_NEW, FILE_ATTRIBUTE_HIDDEN, NULL);... push h push offset string L"NewVirus.exe call dword ptr cmp esi,esp... push h push offset string L"NewVirus.exe call dword ptr [DT_CreateFile] cmp esi,esp DT

Новые сигнатуры Сценарии выполнения Конечное устройство с FEP MMPC Известные угрозы – блокируются Часть неизвестных блокируются за счет базовых сигнатур До выполнения вредоносного ПОПосле выполнения вредоносного ПО Оставшиеся угрозы направляются в MMPC. Новые сигнатуры загружаются из DSS Неизвестные угрозы - нейтрализуются

Руткит = маскировка для вредоносного ПО Используют низкоуровневые перехваты и модификацию ядра Требуют специализированные механизмы для обнаружения и удаления FEP vs. Rootkit Оперирует низкоуровневыми перехватами Следит за аномалиями в структуре ядра Вызывается в рамках поведенческого анализа Интегрированный автономный сканнер – Standalone System Sweeper

Rootkit.BV попадает на компьютер Руткит прячет драйвер и ключи реестра Руткит загружает вредоносный код Загружается ядро FEP FEP обнаруживает драйвер руткита во время плановой проверки Во время запуска системы FEP вычищает остатки руткита Перезагрузка FEP удаляет ссылку в реестре на драйвер руткита FEP просит пользователя перезагрузится

Защищает от эксплуатации уязвимостей ~40% всех уязвимостей, ~50% критических уязвимостей HTTP, MIME, SMTP, IMAP, POP3, SMB, SMB2 и RPC Предотвращает эксплуатацию конкретных уязвимостей Блокирует попытки использования MS (~3000 уникальных эксплойтов из 8 различных семейств) Уменьшает период уязвимости Zero day - время от выявления уязвимости до выпуска патча (часы/дни) Известные уязвимости - время с момента выпуска патча до его установки (дни/недели) Определение уязвимости Эксплуатация Получение контроля Отключение AM и обновлений Распространение вредоносного кода

Простой интерфейс Очевидные действия Централизованное применение политики защиты Гибкий контроль над возможностями пользователей Контроль соответствия

Объединенная инфраструктура для управления и защиты конечных устройств Использование существующей инфраструктуры Простота внедрения и миграции Эффективное управление и мониторинг из единой консоли Централизованное применение политики защиты Контроль соответствия параметрам политики компании Отчеты для администраторов рабочих мест и офицеров безопасности

Служба отчетов SQL (или сетевая папка) SCCM Распространение ПО SCCM Desired Configuration Management Сервер сайта SCCM Данные Политики Отчеты События Клиенты FEP Обратная связь SpyNet Настройки Обновления

Агент ConfigMgr Отчеты ConfigMgr Отчеты FEP Клиент Forefront EndPoint Protection WMI ConfigMgr База данных ConfigMgr База данных FEP База данных DCM Configuration Manager FEP Консоль ConfigMgr Консоль FEP Управляемый компьютер Реестр События Распространение ПО Сервер сайта ConfigMgr Сервер FEP Консоль FEP Политики Оповещения Отчеты Устанавливается как расширение консоли ConfigMgr Серверная роль FEP Коллекции FEP Политики FEP Объявление политик FEP Установочные пакеты FEP Устанавливается на роль сервера первичного сайта ConfigMgr База данных FEP FEP DB FEP DW FEP DW OLAP Cube FEP DB используется совместно с ConfigMgr DB FEP DW используется для создания отчетов Отчеты FEP Установка расширения отчетов FEP Используется механизм отчетов Информация из Data warehouse и OLAP-куба

Консоль управления FEP Серверная роль FEP Отчеты FEP Серверная роль FEP Отчеты FEP

Дополнительные сессии по теме CT 306 CT 306: Реализация доступа для удаленных пользователей на базе Windows 7 DirectAccess и Forefront UAG (17:30-18:30, Зона интерактивных сессий) Блоги

Более 300 официальных курсов Microsoft доступно в России. Официальные курсы можно прослушать только в авторизованных учебных центрах Microsoft под руководством опытного сертифицированного инструктора Microsoft интенсивное обучение с акцентом на практику более 80-и учебных центров более чем в 20-и городах России (+ дистанционные и выездные курсы) Сертификат Microsoft - показатель квалификации ИТ-специалиста для работодателя. Microsoft предлагает гибкую систему сертификаций. Все курсы, учебные центры и центры тестирования: % Доказательство 75 сертифицированных специалистов считают, что сертификация помогла им получить работу или повышение 57 % Доказательство 119 рекрутеров считают сертификацию сотрудников одним из критериев для повышения в должности

Сертификационный пакет со вторым шансом Пакеты экзаменационных ваучеров со скидкой от 15 до 20% и бесплатной пересдачей («вторым шансом»). Все экзамены сдаются одним человеком. Сэкономьте 15% на сертификации вашей ИТ-команды Пакет из 10-и экзаменационных ваучеров со скидкой 15% для сотрудников ИТ-отдела. «Второй шанс» включен. Ваучеры можно произвольно распределять между сотрудниками. Microsoft Certified Career Conference Первая 24-часовая глобальная виртуальная конференция с 18 ноября с (моск. время) по 19 ноября 2010 г. Сессии по технологиям и построению карьеры Скидка 50% для сертифицированных специалистов Microsoft и студентов Бесплатная подписка на TechNet для слушателей официальных курсов Некоторые курсы по SharePoint, Windows 7; Windows Server 2008; SQL Server 2008 Детали: С 22 ноября 2010 г. – подписка TechNet бесплатно для слушателей курсов. Количество ограничено!

Ваше мнение очень важно для нас. Пожалуйста, оцените доклад, заполните анкету и сдайте ее при выходе из зала Спасибо!

IS 305 Артём Синицын Microsoft Consulting Services Вы сможете задать вопросы докладчику в зоне «Спроси эксперта» в течение часа после завершения этого доклада