FOREFRONT ENDPOINT PROTECTION 2010 QUICK ADMIN GUIDE In 2010 is Microsoft met een nieuwe versie van zijn antivirus oplossing voor clients gekomen: Forefront Endpoint Protection 2010. Dit document is bedoeld om snel te leren werken met Forefront Endpoint Protection 2010.
FOREFRONT ENDPOINT PROTECTION 2010
AUTEUR: Martijn Bellaard
CO-AUTEUR: Stefan van der Wiele
EDITOR: Melle Gloerich
QUICK ADMIN GUIDE
UITGEVER: www.ngn.nl
1
Inhoudsopgave Inleiding ................................................................................................................................................. 3 Forefront Client Security ..................................................................................................................... 3 Forefront Endpoint Protection 2010 .................................................................................................... 3 Integratie ............................................................................................................................................ 3 Distribueren ........................................................................................................................................ 3 Gebruik .............................................................................................................................................. 4 Samenvatting ..................................................................................................................................... 4 Installatie van Forefront Endpoint Protection 2010 ................................................................................ 5 Pre-requirements Forefront Endpoint Protection 2010........................................................................ 5 Forefront Endpoint Protection 2010 installeren ................................................................................... 6 Forefront Endpoint Protection 2010 Policies .......................................................................................... 8 My First Exchange Policy ................................................................................................................... 8 Forefront Endpoint Protection 2010 Policy toewijzen ........................................................................ 12 Default policies ................................................................................................................................. 13 Deploying............................................................................................................................................. 14 Monitoring deployment ..................................................................................................................... 15 Configuring Forefront Endpoint Protection Monitoring .......................................................................... 17 Het dashboard.................................................................................................................................. 17 Malware Activity Status. ................................................................................................................... 18 Definition Status ............................................................................................................................... 18 Monitoring ........................................................................................................................................ 19 Policy Distribution ............................................................................................................................. 21 Email settings ................................................................................................................................... 23 Forefront Endpoint Protection Rapportage ........................................................................................... 25 Anti-malware Activity Report ............................................................................................................ 25 Antimalware Protection Report ......................................................................................................... 26 Computer list Report ........................................................................................................................ 27 Forefront Endpoint Protection zonder SCCM ....................................................................................... 28
2
INLEIDING In 2010 is Microsoft met een nieuwste versie van hun antivirus oplossing voor clients gekomen: Forefront Endpoint Protection 2010. Forefront Endpoint Protection 2010 is een onderdeel van de Forefront familie, een verzameling security-producten van Microsoft. In dit eerste hoofdstuk bespreken we wat Forefront Endpoint Protection 2010 is.
Forefront Client Security Forefront Client Security is de voorloper van Forefront Endpoint Protection 2010 en is de Microsoft Antivirus & Anti-malware oplossing voor de werkplekken en server. Deze oplossing werkt op basis van Microsofts eigen Antivirus engine. Forefront Client Security maakte gebruik van WSUS voor zijn updates, Active Directory voor de policies en MOM voor monitoring. Vooral deze laatste voorwaarde zorgde voor nogal wat commentaar, want één van de eisen voor Forefront Client Security was dat hij een eigen MOM installatie nodig had.
Forefront Endpoint Protection 2010 Forefront Endpoint Protection 2010 wordt, net als FCS, gebruikt als Antivirus & Anti-malware client op servers en werkplekken. Forefront Endpoint Protection 2010 heeft de volgende kernmerken:
Integratie met de bestaande infrastructuur Eenvoudig te distribueren Eenvoudig in gebruik
Integratie FCS was de eerste antivirus client van Microsoft. Het feit dat FCS zijn eigen MOM server nodig had werd gezien als een groot nadeel. De ontwikkelaars van Forefront Endpoint Protection 2010(en FCS) hebben dan ook eens goed nagedacht over welk console ze zouden gaan gebruiken voor de client. Nu is SCOM de opvolger van MOM en zou dus de logische opvolger zijn. Er zit een groot nadeel aan SCOM, deze is bedoeld voor monitoring. Je zult dus naast SCOM nog een andere tool moeten hebben voor Distributie en Management van de client. In de System Center familie is er een speciale tool voor juist deze taken, System Center Configuration Manager 2007. Er is dan ook gekozen om SCCM te gebruiken als console. Hier zitten een aantal voordelen aan: 1. In SCCM heb je een collectie van al je clients en server. De collectie kun je dus nu eenvoudig Forefront Endpoint Protection 2010 aan zo een collectie toewijzen 2. SCCM is gemaakt voor software distributie. Forefront Endpoint Protection 2010 is niks anders dan een software pakket 3. WSUS kent ook een integratie met SCCM, dus je kunt ook de updates voor Forefront Endpoint Protection 2010 vanuit SCCM doen. 4. SCCM kent een integratie met NAP 5. SCCM heeft zijn eigenrapportage mogelijkheden.
Distribueren Virussen en malware zijn iets waar elke organisatie vroeg of laat (of allebei) mee te maken krijgt. Er is dan ook geen organisatie die geen antivirus oplossing heeft. Als je dus kiest voor een nieuw antivirus
3
client zul je dus moeten gaan nadenken hoe je de ene client weghaalt en de andere installeert. Je hebt dan twee opties: 1. Je installeert de nieuwe en verwijdert daarna de oude, je hebt nu geen window waarin je risico’s loopt, maar de oude antivirus client kan de installatie van de nieuwe in de weg zitten. 2. Je verwijdert de oude en installeert de nieuwe. Je hebt nu niet dat de oude de nieuwe in de weg zit, maar je hebt wel een window waarin je systeem tijdelijk niet beschermd is. 3. Bij de distributie van Forefront Endpoint Protection 2010 zal de Forefront Endpoint Protection 2010 client zelf eerst de oude client verwijderen en daarna zichzelf installeren. Hierdoor heb je een minimale window waarin je systeem onbeschermd is. Als je voor kiest om dit proces buiten kantooruren plaats te laten vinden is het risico bijna te verwaarlozen. Forefront Endpoint Protection 2010 verwijderd de volgende clients:
Symantec Endpoint Protection version 11 Symantec Corporate Edition version 10 McAfee VirusScan Enterprise version 8.5 and version 8.7 Trend Micro OfficeScan version 8.0 and version 10.0 Forefront Client Security version 1 including the Operations Manager agent
Een complete/up-to-date overzicht van de clients die automatisch verwijderd worden vindt je terug op: http://technet.microsoft.com/en-us/library/ff823842.aspx
Gebruik Naast dat Forefront Endpoint Protection 2010 SCCM gebruikt voor distributie kun je ook vanuit SCCM de policies bepalen. Eerst maak je binnen SCCM een policy aan en daarna wijs je deze toe aan een collectie. Vervolgens kun je vanuit SCCM de distributie van deze policy monitoren, maar ook een eventueel virus uitbraak wordt bekend gemaakt binnen SCCM.
Samenvatting Forefront Endpoint Protection 2010 is de opvolger van FCS, maar is veel eenvoudiger in het beheer. Alles doe je vanuit één console, de console van SCCM. Het is ook niet langer nodig om een speciaal SCCM server neer te zetten voor Forefront Endpoint Protection 2010. Deze integreert met de bestaande SCCM. Hierdoor is het dus mogelijk om bestaande collecties te gebruiken voor Forefront Endpoint Protection.
4
INSTALLATIE VAN FOREFRONT ENDPOINT PROTECTION 2010 In het eerste hoofdstuk hebben we besproken wat Forefront Endpoint Protection 2010 is. In dit hoofdstuk doorlopen we de installatie van Forefront Endpoint Protection 2010.
Pre-requirements Forefront Endpoint Protection 2010. Het installeren van Forefront Endpoint Protection 2010 is niet een heel lastig verhaal. De voorbereiding daarentegen vraagt wel om de nodige aandacht. In mijn vorige blog vertelde ik dat Forefront Endpoint Protection 2010 gebruik maakt van SCCM. Deze zul je dus eerst moeten installeren. Naast SCCCM zul je ook nog meer software moeten installeren. In de onderstaande tabel vind je een overzicht.
Geheugen Disk ruimte
Minmaal 2 GB Forefront Endpoint Protection server: 1 GB Forefront Endpoint Protection database: 6 GB Forefront Endpoint Protection reporting database: 6 GB
OS
Microsoft Windows Server 2003 Service Pack 2 Microsoft Windows Server 2008 Service Pack 1
IIS + onderdelen
IIS o o o o o
SQL server versie
Static Content Default Document Directory Browsing HTTP Errors HTTP Redirection ASP.NET Windows Authentication IIS 6.0 management Compatibility BITS WebDav Microsoft SQL Server 2005 Standard or Enterprise Editions, with Service Pack 3 Microsoft SQL Server 2008 Standard or Enterprise Editions
SQL server onderdelen
SQL Database Services Analysis Services Integration Services Reporting Services SQL Server Agent Windows Authentication
SQL cluster server configuratie
Werk je met een SQL cluster zal je gebruik moeten maken van een Domain Account Integration Services moet op alle nodes aanwezig zijn
Microsoft Report Viewer Redistributable 2005
WSUS
5
SCCM
Aanvullende software
Accounts
WSUS 3.0 SP1
!! Let op!! Niet de wizard van WSUS na de setup doorlopen. SCCM 2007 SP2 SCCM 2007 R2 Volgend SCCM componenten o Hardware Inventory o Software Distribution o Desired Configuration Management
Microsoft Windows Installer version 3.1 Microsoft .Net Framework 3.5 Service Pack 1
· SQL Service Account
Het belangrijkste tijdens de voorbereiding is dat je de juiste onderdelen van SCCM 2007 R2 selecteert. Daarna is het belangrijk om SCCM te configureren voordat je begint met de installatie van Forefront Endpoint Protection 2010.
Forefront Endpoint Protection 2010 installeren Nu de server klaars is kan je gaan beginnen met de installatie van Forefront Endpoint Protection 2010. In 16 stappen kun je vervolgens Forefront Endpoint Protection 2010 installeren 1. 2. 3. 4. 5. 6. 7. 8.
Je start setup via: serversetup.exe. Op de Welcome pagina kun je een Name en de Organization invoeren.
de License Agreement Selecteer een topology Op de Reporting Database Configuration pagina: In de URL boxes vul je de URL van de SQL reporting server in. In de User name boxes vul je de gebruikersnaam in die een connectie mag maken naar de report server. In de Password boxes, type je het wachtwoord in. 9. Op de Updates and Customer Experience Options pagina maak je een selectie en druk je op 10. .Op de SpyNet Policy Configuration pagina kies je voor Advanced SpyNet membership. Door deel te nemen aan het SpyNet network help je Microsoft met het vinden van antimalware 11. 12. Op de Installation Location pagina geef je de locatie waar je FPE 2010 wilt installeren aan. 13. Je krijgt nu een Prerequisites Verification. Voordat de installatie daadwerkelijk van start gaat controleert de installeer of je systeem voldoet aan de eisen. Als je geen fout meldingen krijgt kun je verder gaan 14. 15. Setup Summary geeft een overzicht van de setup zoals deze uitgevoerd gaat worden. Dit is het laatste moment dat je nog iets kunt veranderen.
6
16. Nu wordt Forefront Endpoint Protection 2010 geïnstalleerd op het systeem. Dit neemt wat tijd in, ga dus rustig een kopje koffie drinken.
7
Forefront Endpoint Protection 2010 POLICIES Voordat je de Forefront Endpoint Protection 2010 client gaat uitrollen naar alle clients en servers is het slim om stil te staan bij settings die je in de policy kan zetten. Je kunt er voor kiezen om blind de Forefront Endpoint Protection 2010 client naar alle servers uit te rollen, maar dit kan serieus gevolgen hebben. Je wilt namelijk niet hebben dat een database van een Applicatie server zomaar gescand wordt. Bijvoorbeeld voor Exchange: Voor exchange maak je gebruik van een speciale anti virus client. Deze client werkt met de speciale VAPI’s voor Exchange. Bijna elke anti virus oplossing heeft daarom een speciale anti virus client voor exchange. Als een gebruiker een attachment mee wil sturen waar per ongeluk een virus in zit zal er via de VAPI’s ingegrepen worden. Als er dan ook nog een lokale anti virus client is die gaat ingrijpen, kan dit er voor zorgen dat de database corrupt raakt. De lokale client maakt namelijk geen gebruik van een VAPI en zal direct ingrijpen in de database. Je zult dus eerst een policy moeten maken voor Exchange voordat je exchange uitrolt. In mijn blog neem ik Exchange dan ook als voorbeeld.
My First Exchange Policy In de Inleiding zagen we dat je Forefront Endpoint Protection 2010 volledig beheerd vanuit SCCM. Ook policies maak je vanuit SCCM. In dit hoofdstuk maken we een policy voor Exchange.
Start SCCM manager console.
Ga naar Site Database ( SCCM)\Computer Management\Forefront Endpoint Protection 2010\Policies.
Onder Action => New Policy. o
General, Geef de Policy een naam en eventueel een beschrijving.
Policy Type, kies de juiste template.
naam
Standaard settings
Standaard, Deze policy is geschikt voor werkplekken. Voor terminal servers en file server is de CPU load te hoog. Deze waarde zul je moeten aanpassen. In dat geval is het verstandiger om CPU Limit op
Antimalware policy settings: Real-time protection: incoming and outgoing files Scheduled scan: quick scan every Sunday at 10:00 PM
8
20% of 30% te zetten.
CPU limit: 50% load Windows Firewall: On Update antimalware definitions from the following sources:
Configuration Manager
Microsoft Update
End user configuration: Real-time protection: off Scheduled scan time: off Client notifications on detected malware: off High, deze template is vooral interessant voor servers die een hoog risico lopen om besmet te raken, denk hierbij aan internet facing servers
Antimalware policy settings: Real-time protection: incoming and outgoing files Scheduled scan: daily quick scan at 2:00 AM and full scan every Sunday at 10:00 PM CPU limit: unlimited Windows Firewall: On Update antimalware definitions from the following sources:
Configuration Manager
Microsoft Update
End user configuration: Real-time protection: off Scheduled scan time: off Client notifications on detected malware: off Performance, deze template is geschikt voor applicatie servers zoals Exchange of SQL.
Antimalware policy settings: Real-time protection: incoming and outgoing files Scheduled scan: quick scan every Sunday at 10:00 PM CPU limit: 30% load Windows Firewall: On
9
Update antimalware definitions from the following sources:
Configuration Manager
Microsoft Update
End user configuration: Real-time protection: off Scheduled scan time: off Client notifications on detected malware: off
Ik kies voor de template Performance.
Scheduled Scans, let er op dat de scan niet gelijk plaats vindt met een eventuele backup of ander batch proces
Scan Exclusions, dit is de belangrijkste settings. Nu moet ik alle locaties gaan excluden waar Exchange mail weg schrijft of inleest. Hieronder vallen de volgende zaken:
o
De mailbox database + logfiles.
o
De mail queue directories.
Update, kies de locatie waarvan je wilt updaten. Je kunt hierbij kiezen uit: o
Een share
o
SCCM/WSUS
o
Microsoft Update
De client zal alle locaties afgaan voor de updates.
Client Configuration Options, o
Real-time protection, elke file die wordt weggeschreven of ingelezen wordt gecontroleerd op de aanwezigheid van een virus. Deze optie kost extra performance en ik laat hen daarom uitstaan. Gebruikers zullen niet direct deze server benaderen.
o
Schedule scan time, eerder hebben we de schedule al aangegeven. Als je ook daadwerkelijk wilt dat hij gaat moet je het dus hier aanzetten. In het geval van mijn exchange server laat ik het uitstaan.
o
Allow clients to receive notifications when malware is detected, je kunt aangeven of gebruikers feedback krijgen over eventuele gevonden virussen. Kies voor notifications zul je ook gebruikers moeten vertellen wat ze moeten doen als ze zo een melding
10
krijgen. In mijn geval heeft het geen enkele zin om een notification te krijgen, want ik zit niet dagelijks achter de console van mijn server.
Summary, overzicht van alle settings
Nu wordt de policy aangemaakt
Policy aanpassen Nu je de policy hebt gedefinieerd kun je hem verder gaan aanpassen. Niet alle settings heb je direct kunnen invoeren tijdens de wizard.
Selecteer de policy
Onder actions => Properties
Je ziet nu vier verschillende tabbladen: General
Hier vind je algemene informatie terug over de policy en kun je zien aan welke collectie de policy is toegewezen.
Anti-malware
Onder deze tab kun je de volgende settings doen:
Schedule scans, hier kun je de ‘Schedule Scan” configureren. Hieronder vallen de volgende settings o
Waarneer wordt er gescand
o
Hoeveel CPU wordt er gebruikt
o
Voorwaarde voor de scan
Threat Handling, hoe moet de client omgaan als er een virus gevonden wordt
Real-time Protection, hoe moet de client omgaan met binnenkomende en uitgaande bestanden. Op een file server wil je natuurlijk dat elke file die binnenkomt gescand wordt. Voor mijn exchange server geldt juist het tegenovergestelde. Als ik mijn server netjes beheer zal ik nooit iets direct downloaden op mijn server, maar op mijn werkplek.
Exclude Files en Folders, welke bestanden en directories wil je niet gescand hebben, bijvoorbeeld de exchange database
11
Exclude File types, welke type bestanden wil je niet gescand hebben. Bijvoorbeeld alle .exe-files, maar of dat verstandig is?
Exclude Processes, hier kun je alleen processen invullen die eindigen op cmd, bat, pif, scf, exe, com of scr. Voor exchange server kies ik er voor al mijn exchange en Forefront processen te excluden.
Additional Settings, hier vind je de overige settings zoals: o
Het wel of niet scannen van netwerk drives
o
Het wel of niet scannen van removable storage
o
Het aanmaken van een restore point
o
Het gebruik maken van “behavior monitoring”
o
Wanneer moeten bestanden uit de quarantaine verwijderd worden
Overrides, op dit tabblad kun je aangeven wat er moet gebeuren bij een speciale “thread”. Hierbij is het belangrijk te vermelden dat elke thread al een standaard actie heeft mee gedefinieerd. Vermeld je een thread niet dan zal de voor gedefinieerde actie plaats vinden. Het is ook te adviseren om deze voor gedefinieerde actie te blijven handhaven en niet zelf voor elke virus een eigen actie te bedenken.
-Microsoft Spynet, je kunt er voor kiezen dat de client feedback geeft over gevonden software aan microsoft. Microsoft gebruikt deze informatie om de Forefront Endpoint Protection 2010 client engine en Forefront Endpoint Protection 2010 client database te verbeteren.
Updates
Net als elke anti virus client zal ook Forefront Endpoint Protection 2010 regelmatig geüpdate moeten worden. Op dit tabblad kun je instellen hoe de Forefront Endpoint Protection 2010 client omgaat met Updates.
Windows Firewall
Je kunt de Forefront Endpoint Protection 2010 client de Windows Firewall laten beheren.
Forefront Endpoint Protection 2010 Policy toewijzen Als je helemaal tevreden bent over de policy settings kun je hem gaan toewijzen aan een collectie.
Selecteer de Policy Onder Action Assign Policy
Je krijgt een Add/Remove Collection scherm voor je.
12
Selecteer de juiste collectie, het is dus verstandig om een aparte collectie te maken voor Exchange
SCCM zal nu de policy met de juiste settings distribueren naar alle Exchange server.
Default policies Zoals we zagen in de vorige paragraaf is het van groot belang om de juiste instelling per type applicatie server in te stellen. Microsoft levert bij de Forefront Endpoint Protection 2010 software een aantal, voor ingestelde, policies voor de verschillende type servers, zoals IIS, Exchange, SQL 2005 enz.
Ga naar de policy node Onder Actions Import Policy Browse naar Locatie Forefront Endpoint Protection \ FOREFRONT ENDPOINT PROTECTION 20102010 for Servers CTP\Server_workload_policies Je ziet nu allemaal XML files staan. De naam is altijd opgebouwd volgens het naamschema: FOREFRONT ENDPOINT PROTECTION 2010_Type server Selecteer de juiste XML file
De policy wordt nu automatische geladen en kan worden toegewezen aan de juiste Collectie.
13
DEPLOYING Het deployen van een client is eenvoudig en gaat op basis van een collectie. Let wel op dat je eerst de policy hebt aangemaakt en dat deze is toegewezen aan de juiste collectie. Is dit niet het geval dan zal de client een default policy gebruiken. Deze kan geen kwaad op de meeste werkplekken, maar op een applicatie server wil je deze juist weer niet.
Open System Center Configuration Manager Console Computer Management\Collections
Als je nog geen collectie hebt gemaakt waarin de juiste clients of servers zitten, dan moet je dat dus eerst doen, anders kun je deze nu selecteren. In mijn geval heb ik een collectie met al mijn Exchange servers er in gemaakt (1 stuk ;-) )
Onder Action Distribute Software
De Distribute Software to Collection Wizard start nu op.
Select a existing package
Tijdens de installatie van Forefront Endpoint Protection heeft de setup 3 packages gemaakt: o o o
Microsoft Corporation Forefront Endpoint Protection 2010– Deployment 1.0 All Microsoft Corporation Forefront Endpoint Protection 2010– Operations 1.0 All Microsoft Corporation Forefront Endpoint Protection 2010– Policies 1.0 All
We gaan nu een client deployen dus we kiezen de eerste
System Center Configuration Manager gebruikt distributiepunten om de bestanden in op te slaan. Een client kan dan op zo een distributiepunt de software weer ophalen.
Selecteer een Distributiepunt
Je kunt nu kiezen voor een installatie of de-installatie.
Kies Install Je kunt nu een naam geven aan de Advertisment. Kies of alleen de collectie of ook subcollectie de client krijgen Kies een moment waarop de software moet worden uitgerold en een eventuele deadline
14
Het is verstandig om de client toe te wijzen (assign). Een anti virus client is geen keuze optie, maar iets dat verplicht is voor elke gebruiker.
Selecteer Yes,
De Forefront Endpoint Protection Client wordt nu gedeployed naar de gehele collectie. Dit kan even tijd kosten. Monitoring deployment Nu je de client gedeployed hebt wil je natuurlijk weten of deze ook is aangekomen. Hiervoor heb je twee opties: 1. Je logt in op de client en kijkt of Forefront er op staat. Dit is natuurlijk geen optie als je hem gedeployed hebt naar al je werkplekken 2. Je kunt gaan kijken naar op de Forefront Endpoint Protection 2010Dashboard.
Open System Center Configuration Manager Console Computer Management\Collections\ Forefront Endpoint Protection 2010
Je ziet het dashboard van Forefront Endpoint Protection 2010 in het midden.
Onder Operational Status zie je een taart grafiek. Is deze helemaal groen, dan is goed. Zie je een gele punt dan moeten een aantal clients nog Forefront Endpoint Protection client krijgen. Zie je een rode punt dan zijn er een aantal mislukt. Onder deze taart zie je een legenda met daar achter het aantal
15
clients die mislukt zijn. Hier bevindt zich ook een link naar de juiste collectie. Als je daar op klikt, kun je achterhalen om welke client het gaat. Van daar uit kun je beginnen met de troubleshooting. In de volgende directory, op de client, bevinden zich de log files. Deze log files zijn een goede start om te kunnen achterhalen wat er mis is gegaan. C:\ProgramData\Microsoft\Microsoft Security Client\Support
16
CONFIGURING FOREFRONT ENDPOINT PROTECTION MONITORING In de vorige hoofdstukken hebben we stil gestaan bij wat Forefront Endpoint Protection is, hoe je deze installeert, hoe je policies maakt en hoe je en client distribueert. We hebben nu een ICT omgeving die beveiligd wordt met Forefront Endpoint Protection. Maar we willen ook graag weten hoe de status is van mijn client:
Is er een virus ontdekt, Zijn alle updates ontvangen, Wordt de policy uitgevoerd?
Het dashboard Forefront Endpoint Protection beschikt over een eigen Dashboard. Dit dashboard vind je op de volgende locatie: - Start System Center Configuration Manager console - Site Database (Site)\Computer Management\Forefront Endpoint Protection 2010 Op het moment dat je Forefront Endpoint Protection 2010 selecteert zal in het midden, van de console, het dashboard worden geopend.
Het dashboard is in vijf velden verdeeld:
17
Client Deployment Status, Hierin zie je hoeveel clients er zijn gedeployed, hoeveel er nog moeten gebeuren en welke er zijn mislukt. In een vorige blog ben ik hier al op ingegaan. Malware Activity Status, hierin zie je de activiteiten van malware op je netwerk terug.
Definition Status, hierin zie je de status van de definitie updates distributie. Policy Distribution Status, hierin zie je de status van de policy distributie. Forefront Endpoint Protection Baselines, hier kom ik in een latere blog nog op terug.
Malware Activity Status.
In malware activity status zie je dat de laatste 24 uur er 1 malware (virus) gedetecteerd is. Als ik op de 1 klik dan wordt ik doorgewezen naar Site Database (Site)\Computer Management\Collections\FOREFRONT ENDPOINT PROTECTION 2010collections\Malware activity status\Recently cleaned. Hierin staat 1 computer. Dit is mijn werkplek waarop ik (stiekem) wat virussen heb gedownload. Ik wil nu graag weten welk virus op mijn computer is binnen gekomen. - Selecteer de computer - Actions => Start => Windows Event Viewer De Event Viewer van de computer wordt nu geopend - Kijk in het System log - Action => Filter Current Log Filter op eventid 1116. Je krijgt nu alle Forefront Endpoint Protection Client virus meldingen te zien. In mijn geval zijn het vier meldingen, want ik heb een poging gedaan vier virussen te downloaden.
Definition Status Elke 3 uur komt er een nieuwe update uit voor Forefront Endpoint Protection. Deze update kun je downloaden via WSUS en distribueren. Eerst moeten we er voor zorgen dat updates daadwerkelijk worden gedownload. - Site Database (site)\Site Management\site\Component Configuration - Selecteer, in het midden, Software Update Point Component - Action => Properties - Tabblad: Classifications - Selecteer: Definition Updates
18
- OK
Monitoring WSUS download en distribueert de updates. Op Site Database (Site)\Computer Management\Forefront Endpoint Protection 2010kunnen we nu gaan kijken welke computers een update krijgen.
In mijn geval heeft 1 computer al maximaal 3 dagen geen updates gekregen. Als ik op de 1 druk word ik weer doorverwezen naar de FOREFRONT ENDPOINT PROTECTION 2010collections. Hier zie ik dan de betreffende computer staan. Ik kan nu twee dingen doen: 1) Op de computer inloggen en handmatig de update uitvoeren.
19
- Start Forefront Endpoint Protection Client. Deze vind je terug in je system tray. Je krijgt dan het volgende scherm voor je:
- Update tab - Update knop Nu wordt de update binnen gehaald. 2) De tweede manier is via een “software update” - Selecteer de betreffende computer - Action => Distribute => Software - Next - Browse - Selecteer “Microsoft Corporation Forefront Endpoint Protection 2010– Operations 1.0 All” - Ok - Next - Selecteer de distributie punt(en) - Next - Update Definitions - Next - Next - Next Laat de advertisement verlopen na een dag. Als de computer na een dag nog steeds niet de update heeft dan zou je moeten gaan onderzoeken wat er mis gaat. Hierbij is het goed om te weten dat de client gebruik maakt van de Windows update mechanisme om updates binnen te halen. Dit is dan ook het onderdeel dat je moet gaan onderzoeken.
20
- Next - Assign (wijs) het ”programma” toe en Ignore maintenance Windows - Next
- Next - Close
Policy Distribution Het laatst onderdeel dat ik wil behandelen is de Policy distribution
In een eerder blog heb ik uitgelegd hoe policies werken en hoe je ze kunt distribueren. Net als bij de andere twee onderdelen kun je vanuit het dashboard door klikken om te achterhalen welke computers nog een policy moeten krijgen. Achter distribution failed kun je klikken op het getal. Je komt dan terecht bij FOREFRONT ENDPOINT PROTECTION 2010collections\Policy distribution\Distribution failed. Vanuit hier kun je de event viewer openen en onderzoek wat er mis is gegaan. Ook kun je kijken of de client in folder C:\ProgramData\Microsoft\Microsoft Security Client\Support. Hier vind je meerdere logfiles. Deze logfiles kunnen je helpen te onderzoeken wat er mis is gegaan tijdens de policy distributie/update. Email waarschuwing configureren Met de Forefront Endpoint Protection is het dus mogelijk om centraal te zien welk virus waar is gevonden. Nu zullen de meeste beheerders niet constant kijken naar het dashboard van Forefront Endpoint Protection. Op het moment dat er een virus uitbraak plaatsvindt, kan deze dus makkelijk aan de aandacht van een beheerder ontsnappen. In Forefront Endpoint Protection is het mogelijk om een email te versturen als er een virus uitbraak plaatsvindt. - Start System Center Configuration Manager console - Site Database (Site)\Computer Management\Forefront Endpoint Protection 2010\Alerts Malware Outbreak Alert Er is sprake van een Malware Outbreak als 1 type virus in een snel tempo allemaal computers begint te besmetten. - Selecteer Malware Outbreak Alert - Action => Properties
21
Bij 1 kun je invullen hoeveel computers er besmet moeten zijn als je wilt praten over een virus uitbraak Bij 2 kun je het interval tussen de detecties aangeven Bij 3 geef je het email adres op waarnaar gemaild moet worden. Malware Detection Alert Er is sprake van een Malware Detection Alert als er een malware gevonden wordt. - Selecteer Malware Detection Alert - Action => Properties
22
Bij 1 geef je aan welke collectie je wilt monitoren Bij 2 geef je aan wanneer je een melding wilt hebben:
Low, alleen als een virus niet verwijderd is Medium, als de melding om een handmatig actie vraagt High, altijd
Bij 3 vul je dan het email adres in.
Email settings Als laatste moet je aangeven welke server de mail server is. - Action => Email settings
23
- SMTP server (FQDN): geef de FQDN van de Exchange server op. - Authentication method: Hoe ga je authenticeren bij de exchange - E-mail from address: Een afzender adres - OK
24
FOREFRONT ENDPOINT PROTECTION RAPPORTAGE We hebben nu succesvol Forefront Endpoint Protection 2010draaien in onze omgeving. Nu wil ik graag weten hoe het er voor staat. In mijn vorig blog ben ik al ingegaan op de monitoring. In deze blog wil ik stil staan bij rapportage. Er zijn drie type rapportages:
Antimalware Activity Report, dit rapport geeft je informatie over antimalware activiteiten Antimalware Protection Report, dit rapport geeft je inzicht in hoe de clients functioneren. Hebben ze alle updates, wanneer zijn ze voor het laatste gescand. Computer list Report, dit rapport geeft je informatie over al je computers en hun status.
De rapportage kun je op de volgende manier oproepen:
Start System Center Configuration Manager Console Site Database (Site)\Computer Management\Forefront Endpoint Protection 2010\Reports Selecteer een rapport Onder Action => Run
Nu wordt het rapport gemaakt.
Antimalware Activity Report Dit rapport geeft je inzicht in de malware activiteiten op je netwerk. Hoeveel virussen zijn er ontdekt en verwijderd. Op het moment dat je dit hebt gemaakt zie je drie secties:
Security Alerts, welke alerts zijn er geweest Security Status, wat is de status van je clients Antimalware Activity, hoeveel virussen heb je gehad Malware Activity, welk virussen heb je gehad.
Boven in de browser kun je de query aanpassen. Nu heb ik een Windows 7 collectie gemaakt met daarin (hoe kan dat dan ook anders) al mijn Windows 7 computers. Ik wil graag weten hoeveel virussen ik heb gehad (ik heb er namelijk stiekem wat gedownload).
Als ik alles aangepast heb naar mijn settings druk ik op View Report en het rapport wordt gemaakt. Ik zie dan netjes dat er 4 incidenten waren met vier verschillende virussen.
25
Door nu op één van de virussen te drukken wordt het rapport aangepast en zie ik meer informatie. Ik kan nu achterhalen welke werkplek het was en of hij is verwijderd.
Antimalware Protection Report Dit rapport geeft je inzicht in hoe de clients functioneren. Hebben ze alle updates, wanneer zijn ze voor het laatste gescand. Dit is een rapport met allemaal taart grafieken. In dit rapport zijn twee secties:
Antimalware Deployment and Health, deze sectie is weer in vier sub secties onderverdeeld: o Antimalware Protection, hier kun je zien wat de status is van het uitrollen van de client o Antimalware Definitions, hier kun je zien wat de status is van het distribueren van de updates. o Last Antimalware Scan, hier kun je zien wanneer voor het laatst de clients gecontroleerd zijn. Security Status, in deze sectie kun je zien of er nog malware actief is en of er een user actie noodzakelijk is.
Ook in dit rapport kun je de query aanpassen en door klikken in verschillende onderdelen.
26
Computer list Report Dit rapport geeft je informatie over al je computers en hun status en heeft maar 1 sectie: De computer List. Hierin zie je alle computers. Als je dan vervolgens door klikt op een computer in de lijst kom je in de computer detail rapportage terecht. Deze geeft meer informatie over de betreffende computer. Deze tweede rapportage is in drie secties verdeeld:
Computer Details, hier vind je de naam, domain waar hij lid van is en de OS versie Protection Status, hier vind je de status van de Forefront Endpoint Protection client terug. Malware Activity, hier zie je welke malware er is gevonden op de betreffende computer.
27
FOREFRONT ENDPOINT PROTECTION ZONDER SCCM Voor een klant met een kleine hoeveelheid werkplekken kregen wij de vraag of wij een antivirus oplossing konden aanbieden. Voorkeur ging uit naar een Microsoft product (Microsoft tenzij). En zo kwamen we uit op Forefront Endpoint Protection (FEP). Om FEP uit te rollen heb je SCCM nodig, omdat we de infrastructuur in stappen gaan vernieuwen bij deze klant, stond SCCM nog niet op de lijst, dus wat nu? Als antwoord op diverse blogs was dat FEP bedoeld was voor grote enterprise-omgevingen die dan toch ook wel SCCM hadden of zouden nemen. Na wat speurwerk kwam ik gelukkig uit op een alternatief: advanced group policies. FEP bevat een aantal tools om de clients te beheren via group policies: 1. ADMX and ADML bestanden om FEP instellingen te beheren via group policies. 2. FEP2010GPTool.exe, dit is een tool om FEP settings te importeren naar GPO's of GPO's te exporteren naar FEP policies. 3. Setting templates (FEP policy files) voor de standaard serverrollen zoals: domain controller, SQL server, etc. De makkelijkste manier is om de ADMX bestanden in the laden in een nieuwe GPO te creëren en deze te linken aan een OU en daar de instellingen in te maken. Eventueel kun je er voor kiezen om de templates in te laden in een GPO voor een specifieke serverrol. Voor het uitrollen heb je eigen twee keuzes: 1. Een GPO per OU, hiervoor dien je wel alle servers met dezelfde functie in dezelfde OU te plaatsen (dit is in ieder geval aan te raden). 2. WMI filters gebruiken. Hierdoor kun je meerdere GPO's aan één OU hangen en doormiddel van filters er voor zorgen dat de juiste policy voor de juiste machine wordt geladen. Mijn voorkeur gaat uit naar de eerste optie omdat dit het eenvoudigst te beheren is en de minste overhead veroorzaakt. Auteur Martijn Bellaard, Strategy Consultant Wortell ([email protected]) Co-auteur: Stefan van der Wiele, Consultant Wortell ([email protected]) Editor: Melle Gloerich, Community Manager NGN, ([email protected])
De Creative Commons Attribution-NonCommercial-NoDerivs 3.0 Unported Licentie is van toepassing op dit werk. Ga naar http://creativecommons.org/licenses/by-nc-nd/3.0/ om deze licentie te bekijken
28
