Mintacím szerkesztése

Microsoft Forefront Suite

Mintacím szerkesztése • Mintaszöveg szerkesztése – Második szint • Harmadik szint – Negyedik szint Szirtes István Szakmai igazgató » Ötödik szint (MCT, MCSE+S+M, MCTS, MCITP) SZIRTES TECHNOLOGIES Kft.

www.szirtes.com

2009.03.31.

1


Mintacím szerkesztése A mai program

Hol tart ma a technológia

• Mintaszöveg szerkesztése

A Forefront termékcsalád áttekintése

– Második szint

A Forefront termékek licenc konstrukciói • Harmadik szint Forefront Client Security bemutatása

– Negyedik szint Forefront Security for Exchange Server bemutatása » Ötödik szint

Forefront Security for SharePoint bemutatása Forefront Server Security Management Console bemutatása

Microsoft ISA Server 2006 bemutatása Intelligent Application Gateway 2007 bemutatása

2009.03.31.

2


Mintacím szerkesztése Hol tart ma a technológia? • Mintaszöveg szerkesztése

A mai biztonsági piac képe meglehetősen bonyolult.

– Második szint

Problémás a sokféle védelmi megoldás együttes működésének megvalósítása.

• Harmadik szintfelügyeleti eszközök tartoznak. Egyedi rendszerekhez egyedi – Negyedik szint A hálózat védelme bonyolult, nehezen használható és karbantartható, és a felsorolt » Ötödik szint tényezők eredőjeként szükségtelenül drága. Bár a Microsoftnak számos szoftvermegoldása létezik a biztonsági felügyelet különböző területeire, de hiányzik egy mindent egyben tartalmazó termékcsomag.

2009.03.31.

3


Mintacím A jelenleg rendelkezésreszerkesztése álló biztonsági szoftverek „képességei” • Mintaszöveg szerkesztése

Néhány, már rendelkezésre álló szoftver megoldás a biztonsági feladatok ellátására: – Második szint(Windows Live OneCare) Biztonsági ellenőrzőeszköz

• Harmadik szint

http://onecare.live.com/site/hu-hu/default.htm?mkt=hu-HU

– Negyedik szint Kémprogram védelem (Windows Defender) » Ötödik szint

http://www.microsoft.com/hun/athome/security/spyware/software/default.mspx

Rosszindulatú szoftvert eltávolító eszköz (Malicious Software Removal Tool) http://www.microsoft.com/security/malwareremove/default.mspx

Vírus, féreg, SPAM eltávolító eszközök (Microsoft Antigen) http://www.microsoft.com/antigen/default.mspx

2009.03.31.

4


Mintacím szerkesztése A Forefront termékcsalád felépítése • Mintaszöveg szerkesztése Szerver alkalmazások Kliens és szerver OS –védelem Második szint védelme

Hálózati peremvédelem

• Harmadik szint – Negyedik szint » Ötödik szint

2009.03.31.

5


Mintacím szerkesztése Forefront Client Security • Mintaszöveg szerkesztése

Valós idejű védelmet biztosít az asztali, a notebook és a szerver gépekhez a vírusokkal és spyware-ekkel szemben – Második szint Egyszerűen integrálható a jelenlegi biztonsági infrastruktúrába • Harmadik szint a MOM 2005-tel vizsgálható A kliens gépek egészségállapota – Negyedik szint Házirenddel kezelhető kliensügynökök » Ötödik szint WSUS-al Vírusadatbázisok gyors telepítése Részletes jelentések lekérdezése Folyamatos információ az állapot értékelésekből és biztonsági figyelmeztetésekből Kompatibilis az összes Windows operációsrendszerrel Az alkalmazás számos Anti-Virus szakmai díjat nyert el

2009.03.31.

6


Mintacím szerkesztése Forefront Security for Exchange Server SP1 • Mintaszöveg szerkesztése

A levelezési infrastruktúra hatékony védelme Több anti-virus motor együttes használatával fejlettebb védelem érhető el – Második szint Hatékony fájlszűrési lehetőségek Védelem az és rejtett fenyegetésekkel szemben • új Harmadik szint Exchange fürtök – támogatása Negyedik szint Központosított web-alapú vezérlés » Ötödik szint Központosított automatikus frissítések Újdonság!!! Exchange Server 2007 Sp1 támogatása Újdonság!!! Windows Server 2008 támogatása Újdonság!!! IPv6 támogatása

2009.03.31.

7


Mintacím Forefront Securityszerkesztése for SharePoint SP1

Védelem a veszélyes tartalom ellen Hatékony dokumentumszűrési technikák Védelem az új és rejtett fenyegetésekkel szemben – Második szint A több gyártó által használt motor gyorsabb választ nyújt a fenyegetésekre • Harmadik szint Optimalizált teljesítmény – Negyedik szint A 32 és 64 bites szerverek támogatása » Ötödik szint SharePoint VSAPI integráció Out-of-Policy fájl blokkolás Egyszerűsített management Központosított web-alapú vezérlés Automatikus adatbázis frissítés


2009.03.31.

8


Mintacím szerkesztése Forefront Server Security Management Console • Mintaszöveg szerkesztése Egyszerűsített management – Második szint vezérlés a Forefront Server termékek Központosított web-alapú számára • Harmadik szint Negyedik szint adatbázis frissítések Automatikus–vírusdefiníciós » Ötödik szint Automatikus szerver felderítés Átfogó védelem Integráció az SQL Serverrel és a Windows Server 2003-mal

2009.03.31.

9


Mintacím IAGszerkesztése 2007 • Mintaszöveg szerkesztése

Új SSL VPN megoldás Egyszerű alkalmazás publikálás a külső hálózatok felé – Második szint Beépített sémák halmaza Részletesen konfigurálható Policy Editor • Harmadik szint Automatikus spyware-, és vírus – Negyedik szint detektálás Felhasználó csoportonként hitelesítés » Ötödikdefiniálható szint Kliens gépek megfelelőségi vizsgálata Több portál párhuzamos alkalmazása Webes és nem webes alkalmazások publikálása

2009.03.31.

10


Mintacím ISAszerkesztése 2006 • Mintaszöveg szerkesztése

Kernel módú tűzfal, proxy és cache kiszolgáló Alkalmazások biztonságos közzététele – publikációs Másodikmegoldás szint Számos Exchange 2007 és SharePoint • Harmadik szint2007 alkalmazások támogatása Link Translation– és Path Mapping Negyedik szint technológiák RADIUS, RADIUS OTP, RSA SecureID, » Ötödik szint LDAP Szávszélesség szabályozás támogatása  a csomagok QOS jelzőértékkel való ellátása Egységes tűzfal és VPN megoldás Részletes naplózás és jelentéskészítés

2009.03.31.

11


Mintacím szerkesztése Forefront: múlt – jelen – jövő Past Client

Current Forefront Client Security

• Mintaszöveg Antigen forszerkesztése Exchange Forefront Security for Antigen for SMTP Gateways Antigen SPAM Manager

– Második szint

• Harmadik szint Antigen for SharePoint Server

– Negyedik szint » Ötödik szint

Antigen Enterprise Manager

Integrated Protection and Management 2009.03.31.

ISA Server 2004 Whale Communications IAG

Next Generation Client Security

Exchange Server

Forefront Security for Exchange „14”

Forefront Security for SharePoint

Forefront Security for SharePoint „14”

Forefront Server Security Management Console Forefront Security for Office Communications Server

Antigen for Instant Messaging

Edge

Future

ISA Server 2006 IAG 2007

ISA Server 2008 IAG 2007 R2 Codename "Stirling"

12


Mintacím szerkesztése A Forefront termékek várható megjelenési ideje 2008 2007 •ElsőMintaszöveg szerkesztése félév Második félév Első félév Második félév

– Második szint • Harmadik szint – Negyedik szint » Ötödik szint

2009.03.31.

13

2009 Első félév


Mintacím szerkesztése Az előkészületben lévő Forefront termékek Codename „Stirling” szerkesztése • Mintaszöveg

Új generációs Management Console, ahonnan az összes Forefront termék – Második szint elérhető lesz Egy helyről lesz kezelhető • Harmadik szintaz összes biztonsági területet érintő megoldás: Anti-malware – Negyedik szint Anti-spam » Ötödik szint Tartalom szűrés Belső tűzfal A levelezés és a csoportmunka többszörös védelme A hálózat peremvédelme

Forefront Security for Office Communications Server Az Antigen Instant Messaging-et felváltva épül be a Forefront termékcsaládba A Microsoft Office Communications Server 2007-et védi a fenyegetésekkel szemben 2009.03.31.

14


Mintacím szerkesztése A Forefront termékcsalád portfóliója • Mintaszöveg szerkesztése – Második szint • Harmadik szint – Negyedik szint » Ötödik szint

2009.03.31.

15


Mintacím szerkesztése Díjnyertes Forefront termékek Security for Exchange Server

Security for SharePoint Server

• Mintaszöveg szerkesztése Client Security

Info Security 2008 Global Product Excellence Finalist

Antigen

IAG 2007

ISA 2006

Firewall

• Firewall, • Integrated Security

– Második szint

ICSA Labs Certification

Anti-Malware

Email Security

• Harmadik szint

– Negyedik szint Desktop/Server Anti-Virus Groupware Detection Anti-Virus » Ötödik szint

Virus Bulletin 100% Award

VB100

West Coast Labs Checkmark Certification

•Antivirus Checkmark, Level 1 •Antivirus Checkmark, Level 2 •Anti-Spyware Desktop Checkmark •Trojan Checkmark

2009.03.31.

Enterprise Content Management

Groupware Anti-Virus

16


Mintacím szerkesztése A Forefront termékek licenc konstrukciói • Mintaszöveg szerkesztése

Alapvetően 2 féle licencelési módszer közül választhatunk:

– Második szint

Csak az adott termékhez vásároljuk meg a szükséges licenceket Csomagban vásárolunk több Forefront termékhez felügyeleti licencet • Harmadik szint

– Negyedik szint A csomagban vásárolható licenc típusból három konstrukció létezik: » Ötödik szint Enterprise CAL Suite

Forefront Security Suite

Exchange Enterprise CAL

2009.03.31.

17


Mintacím szerkesztése A Forefront termékek csomagban vásárolt licenc konstrukciói


Enterprise CAL Suite tartalma Forefront Client Security Forefront Security for Exchange Server Forefront Security for SharePoint with SP1 Antigen for Instant Messaging Exchange Hosted Filtering További Server CAL-ok és technológiák

– Második szint

• Harmadik szint

– Negyedik szint » Ötödik szint Forefront Security Suite tartalma Forefront Client Security Forefront Security for Exchange Server Forefront Security for SharePoint Server Antigen for Instant Messaging Exchange Hosted Filtering

Exchange Enterprise CAL tartalma Forefront Security for Exchange Server Exchange Hosted Filtering További Server CAL-ok és technológiák

2009.03.31.

18


Mintacím szerkesztése A Forefront Client Security termék licencelési formája A komponensekhez mennyiségi licencszerződés keretében, előfizetési alapon lehet hozzájutni.


Security Agent komponens

– Második szint

Beszerzési lehetőség: User / Device előfizetési alapon

Mit nyújt: Ügynök program, mely valós idejű védelmi mechanizmusával írtja a vírusokat,

• Harmadik szint

spyware-eket az asztali, a notebook és szerver gépeken.

– Negyedik szint Management Console komponens » Ötödik szint

Beszerzési lehetőség: Server előfizetési alapon Mit nyújt: Központi konzol, mellyel egy helyről lehet irányítani a védelmi mechanizmust,

megoldható az ügynök programok frissítése, jelentéseket és figyelmeztetéseket generál a biztonsági állapotról.

2009.03.31.

19


Mintacím szerkesztése A Forefront Client Security termék licencelési formája Az előfizetéssel együtt járó előnyök


Ingyenes frissítések

– Második szint

Az előfizetése ideje alatt lehetőség van ingyenesen a termék összes frissítését és javítását igénybe

venni.

• Harmadik szint

SQL 2005 és MOM 2005

– Negyedik szint A Management Console előfizetése esetén nem kell külön megvásárolni a MOM 2005 és az SQL » Ötödik szint 2005 Enterprise változatokat, mivel ezek az alkalmazások elengedhetetlenek a termék működéséhez ezért benne vannak a termék licencelésében. A felsorolt termékek kizárólag a Forefront Client Security-hez használhatók fel.

Otthoni felhasználás lehetősége Amennyiben a Security Agent komponenst per user alapon vásároljuk, úgy az otthoni felhasználásra is alkalmazható.

2009.03.31.

20


Mintacím szerkesztése A Forefront Server Security termékek licencelési formája A termékekhez mennyiségi licencszerződés keretében, előfizetési alapon lehet hozzájutni.


Forefront Security for Exchange Server with SP1

– Második szint

Beszerzési lehetőség: User előfizetési alapon

Mit nyújt: Önmagában tartalmazza az összes vírusadatbázis motort, mellyel védhető az Exchange 2007

• Harmadik szint

levelezőszerver alkalmazás. Az alkalmazás beszerzésével a termék elődjei is (Antigen for Exchange,

– Negyedik szint » Ötödik szint változatait lehet védeni.

Antigen for SMTP Gateways, Antigen Spam Manager) elérhetővé válnak, mellyel az Exchange korábbi

Forefront Security for SharePoint with SP1 Beszerzési lehetőség: User előfizetési alapon

Mit nyújt: Önmagában tartalmazza az összes vírusadatbázis motort, mellyel védhetők a Microsoft Office SharePoint 2007 és a Windows SharePoint Services 3.0 csoportmunka alkalmazások. Az alkalmazás beszerzésével a termék korábbi változata is (Antigen for SharePoint) elérhetővé válik, mellyel a SharePoint korábbi változatait is lehet védeni.

2009.03.31.

21


Mintacím szerkesztése A Forefront Server Security termékek licencelési formája Forefront Security for SharePoint Internet Sites Beszerzési lehetőség: Serverszerkesztése előfizetési alapon • Mintaszöveg

– Második szint

Mit nyújt: A Microsoft Office SharePoint Server 2007-tel Internet felé publikált weboldalak védelmére

szolgál.

• Harmadik szint

Forefront Server Security Management Console


Beszerzési lehetőség: Server előfizetési alapon Mit nyújt: Központi web-es vezérlést nyújt a Forefront Server Security termékek számára. A terméket csak

magát az alkalmazást futtató szerverre kell megvásárolni.

2009.03.31.

22


Mintacím szerkesztése A Forefront Edge Security termékek licencelési formája • Mintaszöveg szerkesztése

Az ISA Server 2006 licencelése

– Második szint

A termék megvásárolható önmagában (processzor alapú formában), vagy

Előtelepítve egy erre alkalmas hardverre

• Harmadik szint

Az IAG 2007 licencelése – Negyedik szint A termék kizárólag előtelepített formában (OEM partnereken keresztül) vásárolható meg, így a megfelelő » Ötödik szint hardverrel együtt érkezik. A hozzá tartozó kliensek a következő formákban elérhetők: Device/User CAL EC CAL (External Connection) – a külső hálózatból történő hozzáférések számára használható, egy

ilyen licenccel korlátlan számú külső felhasználó csatlakozhat az IAG-t futtató géphez.

2009.03.31.

23


Mintacím Forefrontszerkesztése Licenc Árak Termék neve Microsoft Forefront Client Security Agent

Ára $12.72 US /user or device /year

• Mintaszöveg szerkesztése Microsoft Forefront Client Security Management Console with SQL Server 2005 $2,468 US /server /year – Második szint

Enterprise Edition Microsoft Forefront Client Security Management Console

• Harmadik szint

Microsoft Forefront Security for Exchange Server with SP1


$98 US /server/year

$1.25 US /user /month

Microsoft Forefront Security for SharePoint with Service Pack 1

$0.60 US /user /month


$8.15 US /server /month

ISA Server 2006 Standard Edition

$1,499 /processor

ISA Server 2006 Enterprise Edition

$5,999 /processor

ISA Server 2006 Enterprise Edition 25-processor pack

$75,000 for 25 processors

IAG 2007 User vagy Device CAL

$22 /user

2009.03.31.

24


Mintacím szerkesztése Forefront Client Security

• Mintaszöveg szerkesztése – Második szint • Harmadik szint – Negyedik szint » Ötödik szint

2009.03.31.

25


Mintacím szerkesztése

Egyesített védelem az asztali, a laptop és szerver

• Mintaszöveg szerkesztéseoperációsrendszerekre – Második szint • Harmadik szint – Negyedik szint » Ötödik szint

Közös megoldás a vírusok és spyware-ek ellen A beépített védelmi technológiát milliók használják világszerte Azonnali válasz a fenyegetésekre

Központi management konzolból irányítható Kliensügynökök szabályozása házirendeken keresztül történik Integrálódik a már meglévő infrastruktúrába

Egy felületről láthatók a fenyegetések és a sebezhetőségek Részletes jelentések a rendszer biztonsági állapotáról Gyors információszerzés az állapotértékelések eredményeiből

2009.03.31.

26


Mintacím szerkesztése A Forefront CS működési folyamata • Mintaszöveg szerkesztése – Második szint • Harmadik szint – Negyedik szint » Ötödik szint

2009.03.31.

27


Mintacím szerkesztése Forefront CS védelmi rendszere

Ugyanaz a motor működik a vírusok és spywarek ellen Ez a motor működik a: Windows® Defender, OneCare, Forefront Server Security termékekben is


A–Windows Security Centeren keresztül kompatibilis a NAP technológiával Második szint Támogatja a Windows Vista új Transactional NTFS fájlrendszerét • Harmadik szint Észlelési és eltávolítási mechanizmusok: – Negyedik szint Valós idejű, ütemezett » Ötödikvagy szintmanuálisan elvégzett keresés és eltávolítás A valós idejű szűrés a Windows Filter Manager technológiát használja Több tucat tömörített állományban képes keresni Beépített védelem a rootkit-ek ellen

Kód emulációs védelem a polymorph vírusokkal szemben Heurisztikusan észleli az új malware-eket és azok variánsait

2009.03.31.

28



A Forefront Client Security telepítése • Mintaszöveg szerkesztése

Telepíthető szerverszerepek:

– Második szint

Management Server – Tartalmazza a Forefront CS és a MOM konzolját. Ez a • szerep Harmadik szerver felelősszint az összes funkció kezeléséért. Távoli konzol segítségével, ehhez a szerverhez lehet kapcsolódni. – Negyedik szint Collection Server - Ez a szerver » Ötödik szint gyűjti össze az eseményeket a kliensgépektől. Egy adatbázis is kapcsolódik ehhez a szerephez. Dönthetünk úgy is, hogy az adatbázist különválasztjuk a Collection Server-től, ezt akkor érdemes megtenni, ha a hálózatunk mérete vagy az események mennyisége úgy kívánja. Az adatok csak rövid ideig tárolódnak ezen a szerveren. Collection Database - Ez a szerep akkor jön létre, ha különválasztjuk azt a Collection Server-től.

2009.03.31.

29



A Forefront Client Security telepítése • Mintaszöveg szerkesztése

Telepíthető szerverszerepek:

– Második szint

Reporting Server - Itt archiválódnak azok az adatok, amik már nem a Collection • Harmadik Serveren tárolódnak.szint Ennek a szervernek a része az SQL Reporting Services 2005, mellyel előre legyártott – Negyedik szint jelentéseket vagy magunk által elkészített jelentéseket futtathatunk. » Ötödik szint Reporting Database - Ez a szerep akkor jön létre, ha különválasztjuk azt a Reporting Server-től. Distribution Server - A Client Security Update Service-t telepíti fel. Ennek a szerepkörnek a WSUS-al egy gépre kell kerülnie. Érdemes függetleníteni a többi szerepkörtől.

2009.03.31.

30


Mintacím szerkesztése A Forefront Client Security telepítése

A szerepkörök megoszlása a különböző topológiák esetén


Megoldás 1 szerver 2 szerver

Szerverek

Reporting Server

Reporting Database

Distribution Server X

Szerver

X

X

X

X

X

1.

Szerver

X

X

X

X

X

1.

3.

5 szerver

Collection Database

1.

2.

4 szerver

Collection Server

– Második szint 2.

3 szerver

Management Server

• Harmadik szint Szerver Szerver

X

X X

– Negyedik szint Szerver Szerver » Ötödik szint

1.

Szerver

2.

Szerver

3.

Szerver

4.

Szerver

1.

Szerver

2.

Szerver

3.

Szerver

4.

Szerver

5.

Szerver

6 szerver

2009.03.31.

X

X X X

X X

X

X

X X

X

X X

X X

X

Mind a hat szerepkör külön kiszolgálóra kerül

31


Mintacím szerkesztése Szerepkörök kiválasztása • Mintaszöveg szerkesztése – Második szint • Harmadik szint – Negyedik szint » Ötödik szint

2009.03.31.

32


Mintacím szerkesztése A Forefront CS telepítése Rendszerkövetelmények A•kiszolgáló szoftver igényei: Mintaszöveg szerkesztése

Windows Server 2003 Standard vagy Enterprise Edition +SP1 (x86) IIS 6.0 és ASP.NET és BITS .NET Framework 2.0

– Második szint

• Harmadik szint

MMC 3.0


GPMC with SP1

WSUS 3.0 megléte és szinkronizálásának beállítása MSSQL Server 2005 with SP2 (Standard vagy Enterprise kiadás a következő szerepkörökkel: Database Services, Integration Services, Reporting Services, és Workstation Components)

A kiszolgáló hardver követelményei (1 szerveres topológia esetén): RAM: 1 GB min, 4 GB ajánlott HDD: 6 GB min, 100 GB ajánlott CPU: 1 GHz min, 2.8 GHz ajánlott

2009.03.31.

33


Mintacím szerkesztése A Forefront CS telepítése Kliens követelmények

• CPU Mintaszöveg szerkesztése – 700 MHz, RAM – 256 MB, HDD – 350 MB

A felügyelt gépekkel kapcsolatos alapkövetelmények:

– Második szint

Win2K Server SP4 és Rollup1, WinXP PRO SP2, Win2k3 SP1, Vista Business, Enterprise, Ultimate, x64 támogatott Min. Windows Update Agent 2.0, Windows Installer 3.1, Hotfix KB 914882 • Harmadik szint

A klienseknek az működéséhez a következő feltételeket is teljesíteniük kell: – FCS Negyedik szint

A kliensre telepíteni kell a Forefront Client Security ügynök programot A kliensre telepíteni » kellÖtödik a MOM szint ügynök programot A MOM szervernek a kliens telepítésekor vissza kell igazolnia, hogy a MOM Client ügynök program már telepítve van és megfelelően képes kommunikálni a szerver és az ügynök A kliensnek a MOM Administrator Console-ján az ügynökkel felügyelt gépek listáján szerepelnie kell A kliens egy olyan tartománynak kell a tagja legyen, melyben szerepel egy Client Security menedzsment szerver vagy mely kétirányú bizalmi kapcsolattal rendelkezik egy másik tartománnyal, melyben szerepel a Client Security menedzsment szerver Nyitott portok: 1270 (TCP és UDP) a Connection Server-hez, 80 (TCP) vagy 8530 (TCP) a Distribution Server-hez

2009.03.31.

34


Mintacím szerkesztése A Forefront CS telepítése Szolgáltatás fiókok

• Mintaszöveg szerkesztése Egy tartományi felhasználó, aki lokális adminisztrátor jogosultsággal kell rendelkezzen az FCS

DAS account:

– Második szint

szerveren A fiókot a Collection Serveren kell beállítani Ennek a• felhasználónak hozzáférési jogosultsága a Collection Server adatbázisához Harmadikvan szint

Reporting account: – Negyedik szint A fiókot a Reporting kell beállítani » Serveren Ötödik szint Ennek a felhasználónak van hozzáférési jogosultsága a Collection Server adatbázisához és a Reporting Server adatbázisához. A fiók kiváltható a DAS account-tal

Action account: A fiókot a Collection Serveren kell beállítani Ez a fiók végzi a szerver oldali szkriptek futtatását a jelentésekhez, és a Security State Assessment állapot feltérképezéséhez A fiók kiváltható a DAS account-tal

2009.03.31.

35


Mintacím szerkesztése MOM Management Server telepítése • Mintaszöveg szerkesztése – Második szint • Harmadik szint – Negyedik szint » Ötödik szint

2009.03.31.

36


Mintacím szerkesztése MOM Action Account fiók megadása • Mintaszöveg szerkesztése – Második szint • Harmadik szint – Negyedik szint » Ötödik szint

2009.03.31.

37


Mintacím szerkesztése A telepítés folyamata • Mintaszöveg szerkesztése – Második szint • Harmadik szint – Negyedik szint » Ötödik szint

2009.03.31.

38


Mintacím szerkesztése A Forefront CS telepítése Nem támogatott telepítési műveletek


Egyik Client Security szerepkört sem szabad tartományvezérlőre – Második szint telepíteni • Harmadik szint Microsoft Virtuális környezetben a Client Security komponenseinek – Negyedik szint futtatása nem támogatott » Ötödik szint A Forefront Client Security szerepkörök telepítésekor az SQL szerver fürtök használata nem támogatott

2009.03.31.

39


Mintacím szerkesztése A telepítés utáni teendők

1. Configuration Wizard beállítása (automatikusan elindul az FCS első indításakor)

• Mintaszöveg szerkesztése Collection Server gép nevének meghatározása

Collection Server database gép nevének meghatározása Management csoport nevének meghatározása Reporting database gép nevének • Harmadik szint meghatározása Reporting Server gép nevének meghatározása – Negyedik szint Reporting felhasználói név és jelszó meghatározása  FCS-DAS felhasználói fiók

– Második szint

» Ötödik szint 2. SQL Server Management Studio beállítása

A SystemCenterReporting adatbázison belül a FCS-DAS fióknak db_owner jogosultságot kell biztosítani

3. WSUS beállítása Az FCS biztonsági frissítéseinek beállítása: critical update, definitions updates, security updates, and updates A szinkronizációs időtartam beállítása A frissítések automatikus érvényre juttatása

2009.03.31.

40



4. Házirend beállítása a kliens ügynökök számára (Security Management Console – Policy Management fül) General fül: A házirend elnevezése – Második szint Protection fül: Vírus és spyware védelem beállítása, víruskeresési időpont • Harmadik szintAssessment beállítása, Security State Negyedik szint Advanced –fül: Vírusadatbázisok frissítése, keresési beállítások, kivételek » Ötödik szint kezelése, a kliensekre ható beállítások (mire adjon lehetőséget az ügynökalkalmazás) Overrides fül: A megtalált fertőzések felülbírálása Reporting fül: Figyelmeztetési szint beállítása, naplózás beállítása, a begyűjtött információk továbbítása a SPYNET számára


2009.03.31.

41



5. A házirendek terítése a kliensek számára Az FCS 4 lehetőséget ajánl fel a házirendek terítéséhez: Szervezeti egységhez hozzá adva – Második szint Csoporthoz hozzárendelve • Harmadik szint Csoportházirend objektumon keresztül – szkriptelés Negyedik szint Fájlból, útján » Ötödik szintnem érvényesíthetők A házirendek felhasználókra A biztonsági csoporthoz hozzárendelt házirendek felülbírálják a szervezeti egységhez hozzárendelteket


2009.03.31.

42


Mintacím szerkesztése A vírusadatbázisok naprakészen tartási mechanizmusa A vírusadatbázisok frissítésének telepítése a • Mintaszöveg szerkesztése Windows Server Update Services (WSUS)-en

Microsoft Update ®

keresztül a legoptimálisabb – Második szint Más szoftver terítési rendszerek is • Harmadik szint használhatók – Negyedik szint A vírusadatbázisok elfogadása automatikusan Ötödik szint vagy manuálisan is »megtörténhet Az Update Assistant szolgáltatás a WSUS szerver és a Microsoft Update szerver közötti szinkronizációs időt szabályozza (WSUS 3.0-nál már nincs szükség erre a szolgáltatásra) A roaming felhasználók támogatottak Failover működési mechanizmus a Microsoft Update szerverrel 2009.03.31.

Malware Research

Sync

WSUS + Update Assistant Sync

Failover

Desktops, Laptops and Servers

43


Mintacím szerkesztése A Forefront Client Security felülete • Mintaszöveg szerkesztése Másodikérhető szintel: Egy–felületről • Harmadik szint – Negyedikésszint A fenyegetésekkel sebezhetőségekkel Ötödik szint kapcsolatos » információk Részleteiben gazdag jelentések A házirendek beállítása és terítése a kliensek számára

2009.03.31.

44


Mintacím szerkesztése Jelentések a Forefront Client Security-val A jelentések használatával lehetőség adódik a fenyegetésekre és a lehetséges sebezhetőségekre fókuszálni Az állapot értékeléssel kideríthető, hogy melyik gépnek van szüksége: – Második szint További patch-ek telepítésére Melyik•számítógép vanszint biztonsági szempontból hibásan konfigurálva Harmadik A jelentések a következő információkat tartalmazzák: – Negyedik szint


Ötödik szint Summary »Report Deployment Alerts Computers

Malware Threat(s) Vulnerability Summary Scan Results Historical Information

A jelentések a MOM 2005 technológiára épülnek A háttérben az SQL Reporting Services működik

2009.03.31.

45


Mintacím szerkesztése Jelentések a Forefront Client Security-val • Mintaszöveg szerkesztése – Második szint • Harmadik szint – Negyedik szint » Ötödik szint

Security Summary

2009.03.31.

46


Mintacím szerkesztése A Forefront Client Security ügynökprogram felülete • Mintaszöveg szerkesztése – Második szint • Harmadik szint – Negyedik szint » Ötödik szint

2009.03.31.

47


Mintacím szerkesztése Forefront CS vírusjelentések • Mintaszöveg szerkesztése A figyelmeztetések házirendből szabályozhatók

figyelmeztetések a rendszergazdát értesítik a támadások szintjéről –AMásodik szint

• Harmadik szint Malware – detected Negyedik szint Malware failed to remove » Ötödik szint

Malware outbreak Malware protection disabled

Figyelmeztetési szintek és értékek Critical Issues Only, Low Value Assets

Outbreak

2009.03.31.

1

2

Malware removal failed

3 Signature update failed

4

Rich Data, High Value Assets

5

Malware detected and removed

48

Signature update failed (per min)


Mintacím szerkesztése Összehasonlítás MSRT

Windows Defender

Windows Live Microsoft OneCare Safety Windows Live Forefront Client Scanner OneCare Security


A gyakori vírusokat eltávolítja

– Második szint

Az összes ismert vírust eltávolítja

• Harmadik szint

Valós idejű antivírus védelem

Az összes ismert spyware-t eltávolítja


Valós idejű antispyware védelem Központi jelentés és figyelmeztetés Testreszabhatóság

Integráció az IT infrastruktúrába

2009.03.31.

49


Mintacím szerkesztése Forefront Client Security feladatok

AZ FCS LOKÁLIS KONFIGURÁCIÓJA VÍRUSDEFINÍCIÓS ADATBÁZIS FRISSÍTÉSE Z FCS KÖZPONTI FELÜGYELETE Második szintAFCS RIASZTÁS KEZELÉS, MONITOROZÁS ÉS JELENTÉSKÉSZÍTÉS

• Mintaszöveg szerkesztése –

• Harmadik szint


2009.03.31.

50



Forefront Server Security


2009.03.31.

51



A Forefront Server Security termékek • Mintaszöveg szerkesztése Forefront Securityszint for Exchange Server SP1 – Második Forefront• Security forszint SharePoint SP1 Harmadik Forefront Server Security – Negyedik szintManagement Console » Ötödik szint

A termékek közös jellemzői: Átfogó védelem az együttesen működő antivírus megoldásokkal Optimalizált teljesítmény (BIAS finomhangolás) Központosított management

2009.03.31.

52


szerkesztése VállalatiMintacím antivírus megoldások – egy gyártós modell Internet

• Mintaszöveg Viruses szerkesztése Worms – Második szint

Probléma jelentkezik, ha az egyedüli védelem meghibásodik

Spam szint • Harmadik – Negyedik szint SMTP A » Ötödik A szint Server

ISA Server

A

A

Exchange

Egy gyártó Egy motor

A

Exchange

SharePoint

A A

2009.03.31.

A

53


Mintacím Többszörös védelem aszerkesztése vírusokkal szemben A Forefront Server Security termékekbe 8 vezető antivírus gyártó cég víruskereső motorja –integrálásra Második szint került

A Forefront Server Security termékekben minden ellenőrzési műveletnél egyszerre 5 különböző motorral vizsgálható meg az adott tartalom

• Mintaszöveg szerkesztése • Harmadik szint – Negyedik szint » Ötödik szint

Belső Exchange vagy SharePoint Server

A

2009.03.31.

B

C

54

D

E


Mintacím szerkesztése A többszörös védelem előnyei • Több antivírus motor alkalmazásával 0406 Mytob.NQ@mm gyorsabb és 0406 Mytob.NQ@mm hatásosabb védelem 0406 Spybot!04C2 – Második szint érhető el 0406 Nugache.a

Válaszadási idők (órában) Forefront Set 1

Forefront Set 2

Forefront Set 3

Gyártó A

Gyártó B

Gyártó C

1.5

1.0

3.1

9.9

17.4

2.1

1.0

1.0

1.0

28.1

11.6

3.5

23.0

23.0

1.0

0.0

29.9

39.0

1.0

1.0

1.0

34.1

12.9

48.1

0.0

0.0

0.0

1.0

10.3

15.0

1.0

1.0

1.0

103.8

251.9

114.8

• Mintaszöveg szerkesztése • Harmadik szint0506 Numuen.F

0506 Numuen.H – Negyedik szint 0506 Numuen.G » Ötödik szint 0506 Banwarum.C@mm

3.2

3.2

3.2

1.0

151.8

469.0

87.5

87.5

1.0

116.7

73.0

129.3

0506 Banwarum.B@mm

12.1

1.8

1.0

116.7

22.5

32.9

0506 Rbot!E905

0.0

0.0

0.0

1,141.8

217.6

1.0

0606 Bagle.EG

0.0

0.0

0.0

0.0

7.3

0.0

0606 Bagle.EH@mm

0.0

0.0

0.0

0.0

18.4

0.0

0606 Bagle.EG@mm

0.0

0.0

1.0

0.0

26.5

0.0

0606 Bagle.LY@mm

0.0

0.0

0.0

0.0

6.4

2.5

0706 Feebs.gen@mm

0.0

0.0

0.0

0.0

0.0

503.8

0706 Feebs.EU

0.0

0.0

0.0

52.3

173.2

39.0

0706 Virut.A

0.0

0.0

0.0

0.0

0.0

1,317.0

> 24 óra 4 -től 24 óráig < 4 óra

2009.03.31.

55


Mintacím szerkesztése A teljesítmény optimalizálása • Mintaszöveg szerkesztése A B

C

– Második szint

Nem mindig ugyanazok a szűrési motorok dolgoznak. A motorok dinamikusan választódnak ki az elérhető tárból.

• Harmadik szint

D


Bias Max Certainty: az összes motor működésben van (100%) Favor Certainty: mindegyik elérhető motorral ellenőriz Neutral: a kiválasztott motorok min. 50 %-ával ellenőriz Favor Performance: a kiválasztott motorok max. 50%-ával ellenőriz Max Performance: egy motor működik minden szűrésnél

2009.03.31.

56


Mintacím szerkesztése A teljesítmény optimalizálása • Mintaszöveg szerkesztése A – Második szint • Harmadik szint

Nem mindig ugyanazok a szűrési motorok dolgoznak. A motorok dinamikusan választódnak ki az elérhető tárból.

B


Bias Max Certainty: az összes motor működésben van (100%) Favor Certainty: mindegyik elérhető motorral ellenőriz Neutral: a kiválasztott motorok min. 50 %-ával ellenőriz Favor Performance: a kiválasztott motorok max. 50%-ával ellenőriz Max Performance: egy motor működik minden szűrésnél

2009.03.31.

57



Forefront Server Security Management Console jellemzői Központi Management Console helyről telepíthető és • Egy Mintaszöveg szerkesztése konfigurálható a Forefront – Második szint és Security for Exchange SharePoint alkalmazás • Harmadik szint Automatikus vírusadatbázis – Negyedik szint frissítés a teljes vállalati hálózatban » Ötödik szint Megkeresi, és letölti a legfrissebb antivírus SharePoint adatbázisokat Servers Az adatbázisok frissítése az összes Forefront szerveren végrehajtódik

2009.03.31.

Exchange Servers

58


Mintacím szerkesztése Forefront Server Security Management Console jellemzői jelentések: • Részletes Mintaszöveg szerkesztése A megtalált vírusokról, a szűrésre kijelölt kulcsszavakról vagy fájlokról szint – Második

A•Forefront által elvégzett vírusdetektálási műveletekről Harmadik szint vagy tartalom engedélyezésekor – Negyedik szint Antivírus adatbázis verziókról » Ötödik szint Outbreak figyelmeztetések SNMP és SMTP figyelmeztetések küldése, amikor a rendszergazda által beállított küszöbértékek teljesülnek vírusokra, fájlokra és tartalmi szűrőkre A figyelmeztetések továbbíthatók a Microsoft Operations Manager felé

2009.03.31.

59


Mintacím szerkesztése Automatikus adatbázis frissítés www.microsoft.com

• Mintaszöveg szerkesztése Internet

– Második szint Engine Partner Updates

Internet

• Harmadik szint – Negyedik szint » Ötödik szint Forefront Engine Adaptor

2009.03.31.

60


Mintacím szerkesztése Figyelmeztetések és jelentések • Mintaszöveg szerkesztése – Második szint • Harmadik szint – Negyedik szint » Ötödik szint

2009.03.31.

61


Mintacím szerkesztése Microsoft Operations Manager Forefront Management Pack for MOM 2005

• Mintaszöveg szerkesztése Használatával több, mint 100 esemény, teljesítmény számláló és szolgáltatás monitorozása – Második szint oldható meg Monitorozza a Forefront állapotát • Harmadik szint Statisztikai adatokat gyűjt a levelek és mellékletek szűréséről, – Negyedik szint felderítéséről és eltávolításáról

» Ötödik szint Fontosabb műveletek:

Az adatbázismotorok frissen tartása Tárolja és telepíti a licenc fájlokat A beállítások importálása, exportálása és telepítése A szűrési job-ok inicializálása és ütemezése A Forefront szolgáltatások elindítása és leállítása

2009.03.31.

62


Mintacím szerkesztése Forefront Security for Exchange Server bemutatása


A megcélzott ügyfélkör: közepes és nagy vállalatok – Második szint Mire használható?

• Harmadik szint

Hatékony védelmet biztosít a vállalati levelezés rendszerében

– Negyedik szintés spyware-ekkel szemben Véd a legújabb vírusok, férgek 8 különböző antivírusokat » Ötödikgyártó szintcég motorját használja Egyszerre 5 különböző motor együttes használata

Minden helyzetben optimalizált teljesítményt nyújt Nem csökken a levelek kézbesítési ideje Memóriában történő gyors vizsgálat A már megvizsgált leveleket nem vizsgálja újra Teljesítmény optimalizáló beállítások (BIAS)

2009.03.31.

63



Forefront Security for Exchange Server telepítése Rendszerkövetelmények

• Mintaszöveg szerkesztése – Második szint A Forefront Security for Exchange Server SP1 kiszolgáló szoftver igényei: • Harmadik szint Windows Server 2003 vagy Windows – Negyedik szint Server 2008 Microsoft Exchange Server 2007

» Ötödik szint

A Forefront Security for Exchange Server SP1 kiszolgáló hardver igényei: CPU – x86 vagy x64 (Az Intel Itanium IA64 processzor nem támogatott) RAM – 1 GB min, 2 GB ajánlott HDD – 550 MB

2009.03.31.

64


Mintacím szerkesztése A termék újdonságai az Antigen-hez képest Exchange szerepkör támogatása (Edge, Hub, Mailbox) •364-bites Mintaszöveg szerkesztése támogatás (32-bit support only for evaluation)

– Második szint 11 különböző nyelven elérhető Támogatottak az Exchange • Harmadik szintúj AV szolgáltatásai AV transport bélyeg szint – Negyedik Célzott, háttérben valószint szűrés az optimális teljesítmény érdekében » Ötödik A licenccel hozzáférhető az összes vírusadatbázis motor Prémium anti-spam szolgáltatások az Exchange 2007 számára Az új Exchange 2007 CCR szolgáltatásának támogatása Az Exchange Server 2007 SP1 támogatása (FSE SP1-től) Windows Server 2008 támogatása (FSE SP1-től)

2009.03.31.

65


Mintacím szerkesztése Email forgalmak szűrése

Az intelligens szűrési technológia nem vizsgálja újra azokat a • új, Mintaszöveg szerkesztése leveleket, amik már keresztül mentek egy szűrőn

– Második szint

Az Exchange alapértelmezetten a leveleket az Edge Transport vagy a Hub • Harmadik Transport szerveren szint szűri meg, és nem vizsgálja újra őket amikor azok a postafiókba– érkeznek Negyedik szint » Ötödik szint Az AV szűrések minimalizálásával növelhető a levelező rendszer

teljesítménye A tárban csökkennek a szűréskor keletkezett ütközések Kikapcsolható az összes ponton történő szűrés engedélyezése

2009.03.31.

66


Mintacím szerkesztése Réteges védelem az Exchange szerepkörök mellett Exchange 2007 • Mintaszöveg szerkesztése Exchange Edge Server

Internet

Site 1

– Második szint • Harmadik szint

Exchange 2007 Hub Transport Server


ISA Server

Exchange Public Folder Server

Exchange Site 2 Exchange Mailbox Server

2009.03.31.

67



Vizsgálat beérkező levelek esetén I N T E R N E T

• Mintaszöveg Edge Server szerkesztése Hub Role

Mailbox Role

– Második szint • Harmadik szint SCAN and

– STAMP Negyedik szint » Ötödik szint

NO SCAN

Amennyiben az Edge szerveren a levél vizsgálata már megtörtént, úgy a Hub és a Mailbox szervereken ez már nem történik meg teret engedve a többi értékes folyamatnak

2009.03.31.

NO SCAN

Mailbox Role

Public Folder

68

Client


Mintacím szerkesztése Vizsgálat belső levelezés esetén • Mintaszöveg Edge Server szerkesztése Hub Role

Mailbox Role

Internet

– Második szint • Harmadik szint NO SCAN

SCAN and STAMP

– Negyedik szint szint • A belső levelezés»a Ötödik Hub szerveren keresztül történik • A Mailbox szerveren történő proaktív szűrés alapértelmezetten ki van kapcsolva • A Mailbox szerveren értékes folyamatoknak lehet teret hagyni 2009.03.31.

NO SCAN

Mailbox Role

NO SCAN

Public Folder

69

Client



A levéltárak szűrési beállításai mód szerkesztése •Standard Mintaszöveg

Háttérben való szűrést végez a tár teljes területén, a szűrések – Második szint végre a leginkább veszélyeztetett fájlokon naponta hajtódnak • Harmadik szinta nem vizsgált levelekre On-access védelem

Negyedik szint Outbreak– mód

» Ötödik szint

On-access újra vizsgálja, amikor az újabb frissítések elérhetőek

Ultimate biztonságos mód Kizárólag a tárat vizsgálja On-access újra vizsgálja, amikor az újabb frissítések elérhetőek Folyamatos háttérben való vizsgálat az új adatbázisokkal 2009.03.31.

70


Mintacím Exchange 2007 szerkesztése vállalati topológia Enterprise network Más SMTP szerverek

• Mintaszöveg szerkesztése Edge Transport

I szint – Második

•

 Routing

N Harmadik szint T – Negyedik szint E R » Ötödik szint N E T

 Hygiene

 Routing

 Policy

PBX or VoIP

Unified Messaging  Alkalmazások: - OWA

 Protokollok: - ActiveSync, POP, IMAP, RPC / HTTP …

Voice Messaging

Mailbox

 Programozhatóság: - Web services, - Web parts

Client Access

2009.03.31.

Hub Transport

Mailbox Public Folders

71

Fax


Mintacím szerkesztése Inkrementális, háttérben történő vizsgálat

Beállítható a tárterület teljes, háttérben történő napi • Mintaszöveg szerkesztése vizsgálata a legújabb – Második szint frissítések használatával Kizárólag azoknakszint az üzeneteknek a vizsgálata, amelyek az • Harmadik elmúlt – Negyedik szint » Ötödik szint 4, 6, 8, 12, 18 órában, 1, 2, 3, 4, 5, 7, 30 napban érkeztek

A biztonság és teljesítmény kombinálása A legveszélyesebb üzenetek vizsgálata Nem vizsgálja folyamatosan a teljes tárterületet

2009.03.31.

72


Mintacím szerkesztése Prémium Anti-spam védelem

A Forefront Security for Exchange Server tartalmaz egy Prémium anti• Mintaszöveg szerkesztése spam védelmet az Exchange 2007 számára Az vagy a Hub szerverre telepíthető – Exchange MásodikEdge szint

Az Exchange 2007 alap anti-spam védelme mellett, • Harmadik szint a prémium anti-spam nyújtja: – Negyedik ezeket szint Szűrés a Microsoft-nál jegyzett veszélyes IP címek listája alapján » Ötödik szint Automatikus frissítések a Microsoft Smartscreen spam heuristics, phishing Web siteok és az Intelligent Message Filter (IMF) komponensein keresztül A legújabb SPAM fertőzések felderítéséhez célzott SPAM adatbázisok és ezek automatikus frissítése szolgál

2009.03.31.

73


Mintacím szerkesztése Fájl szűrés

• Mintaszöveg szerkesztése Lényeges szerepet kap minden levelezés védelmi stratégiában A fájl–szűrővel proaktívan Második szint blokkolhatók a speciális kiterjesztésű fájlok, függetlenül a kiterjesztések állapotától • Harmadik szint Ajánlott blokkolandó fájl típusok: EXE, COM, PIF, SCR, VBS, SHS, – Negyedik szint CHM és BAT » Ötödik szint

2009.03.31.

74


Mintacím szerkesztése Fájlszűrési technikák

A Forefront a fájlokat kiterjesztésük, és valós típusuk alapján •blokkolja Mintaszöveg szerkesztése Nem lehet átverni a szűrőt a fájlok kiterjesztésének –módosításával Második szint

• Harmadik szint


Az „*.exe” szűrő használatával minden *.exe kiterjesztésű fájl blokkolódik

2009.03.31.

A *.* és az EXEFILE szűrővel minden tényleges *.exe fájl blokkolódik

75


Mintacím szerkesztése Fájlszűrési technikák

Keresés a fájlokra nevük alapján, pl.: “resume.doc” • Mintaszöveg szerkesztése A helyettesítő karakterek támogatottak, pl.: “*resume*.doc” – Második Minden „*” 250szint karaktert jelenthet • Harmadik szint A fájlszűrések működnek a beérkező és kimenő levelekre egyaránt Negyedik szint *.exe,– *.doc » Ötödik szint nevük, típusuk és irányuk kombinációja A fájlok blokkolhatók méretük, szerint is *.mp3>2mb *.mp3>5mb *.*>10mb

2009.03.31.

76


Mintacím szerkesztése Fájlszűrési műveletek

Minden szűrőnek vagy szűrőlistának lehet saját önálló működési mechanizmusa: • Mintaszöveg szerkesztése Skip:Csak vizsgál – Naplózza az eseményeket, de nem változtatja és nem – Második szint blokkolja az üzeneteket • Harmadik szint Nem biztonságos beállítás! Negyedik szint Hasznos– lehet a felderítéskor és az ellenőrzéskor » Ötödik Lehetőség van az új szint szabályok tesztelésére a felhasználókra történő kihatások nélkül Delete:Eltávolítja a tartalmat – Csak a mellékletet távolítja el és egy törlési szöveget hagy maga után Purge:Az üzenet eltávolítása – Törli a mellékletet és az üzenet tárgy részét Ebben az esetben a végfelhasználó nem kap semmit 2009.03.31.

77


Mintacím szerkesztése Tömörített fájlon belüli szűrések A Forefront képes belülről megvizsgálni a ZIP és más tömörített állományok tartalmát. Amennyiben fertőzést észlel, úgy csak az adott fájltMásodik törli, majd újratömöríti az adott állományt. – szint


Törlési szövegfájl

• Harmadik szint EXE

BMP

– Negyedik szintFilter Rules: Delete DOC » Ötödik szint *.exe Quarantine JPG

Tömörített fájl a vizsgálat előtt

EXE

TXT

DOC

BMP

JPG

Tömörített fájl a vizsgálat után

Quarantine 2009.03.31.

78


Mintacím szerkesztése Forefront Security for SharePoint bemutatása


A megcélzott ügyfélkör: közepes és nagy vállalatok – Második szint Mire használható?

• Harmadik szint

Hatékony védelmet nyújt a vállalati csoportmunka rendszerében

– Negyedik szintés spyware-ekkel szemben Véd a legújabb vírusok, férgek 9 különböző antivírusokat » Ötödikgyártó szintcég motorját használja Egyszerre 5 különböző motor együttes használata

Minden helyzetben optimalizált teljesítményt nyújt Nem csökken a levelek kézbesítési ideje Memóriában történő gyorsabb vizsgálat A már megvizsgált leveleket nem vizsgálja újra Teljesítmény optimalizáló beállítások (BIAS)

2009.03.31.

79



Forefront Security for SharePoint telepítése Rendszerkövetelmények

• Mintaszöveg szerkesztése – Második szint A Forefront Security for SharePoint SP1 kiszolgáló szoftver igényei: Windows 2003 (Web, Standard, Enterprise vagy Datacenter kiadás) +SP1 • Server Harmadik szint Microsoft Office SharePoint Server 2007 vagy Microsoft Windows SharePoint Services 3.0

– Negyedik szint SharePoint Services 3.0 Hotfix (KB96867) » Ötödik szint

A Forefront Security for SharePoint SP1 kiszolgáló hardver igényei: CPU – Dual-Processor 2.5 GHz RAM – 1 GB min, 2 GB ajánlott HDD – 550 MB

2009.03.31.

80


Mintacím szerkesztése A termék újdonságai • AMintaszöveg szerkesztése 32 és 64 bites technológiák támogatása

11–különböző nyelven Második szintelérhető Támogatottak a SharePoint • Harmadik szint Information Rights Management dokumentumok Kulcsszó alapú szűrések az Office XML és Excel fájlokban – Negyedik szint Hozzáférés az összes szűrő motorhoz » Ötödik szint

2009.03.31.

81


Mintacím szerkesztése Forefront Server Security for Sharepoint

Microsoft Forefront Security for SharePoint több piacvezető víruskereső szoftvergyártó motorját integrálva tartalmazza a lehető legbiztonságosabb tartalomszűrés eléréséhez. A termék használatával a Microsoft Office SharePoint 2007 és a Windows SharePoint Services 3.0 alkalmazás szolgáltatások teljeskörű védelme valósítható meg.

• Mintaszöveg szerkesztése – Második szint

 Intergrálva tartalmaz több piacvezető antivírus megoldást Harmadik szint  Fájl, tartalom és kulcsszó alapú szűrés Átfogó•védelem  Támogatja az Open XML és az IRM védelemmel ellátott – Negyedik szint dokumentumokat

» Ötödik szint

Optimalizált teljesítmény

Egyszerűsített management 2009.03.31.

 Szoros integráció a SharePoint Server alkalmazással  Szkennelés-, és teljesítmény-optimalizáció  Könnyedén felügyelhető és konfigurálható  Automatikus frissítés terítés  Jelentések, értesítések és riasztások

82



Virus védelem a dokumentum tárakra A dokumentum tárba feltöltött és onnan letöltött fájlok valós idejű szűrése A dokumentum tárak manuális és ütemezett szűrése

SQL Document Library


Document


SharePoint Server

Document

A házirendek érvényre jutása A fájl alapú szűrés blokkolja azokat a fájlokat, melyek nevében egyezést talál a beállított házirendben a fájl típusára vagy kiterjesztésére A tartalom alapú szűrés a házirendben beállított kulcsszavakat keresi a dokumentumokban

2009.03.31.

Users

83


Mintacím szerkesztése SharePoint API integráció

Mintaszöveg szerkesztése A•SharePoint Virus API-ját használva ellenőrzi az állományokat fel-, és letöltésükkor – Második szint A nem változott állományokat nem ellenőrzi újra • Harmadik szint Egyszerre max. 10 szkennelési processzt futtat, hogy a felhasználó ne – Negyedik az szint szenvedjen késlekedést állomány ellenőrzése miatt » Ötödik szint Automatikus integráció a SharePoint Information Rights Management (IRM) technológiájával a védett állományok „on the fly” típusú ellenőrzéséhez

2009.03.31.

84



Forefront Server Security Management • Mintaszöveg szerkesztése Console – Második szint • Harmadik szint – Negyedik szint » Ötödik szint

2009.03.31.

85


Mintacím szerkesztése A Forefront Server Security Management Console A Forefront Server Security Management Console használatával az adminisztrátorok számára könnyedén elvégezhető az infrastruktúrában üzemelő Forefront Security for Exchange Server, Forefront Security for SharePoint és Microsoft Antigen termékek adminisztrációja. A webes konzolon keresztül központilag felügyelhető és automatizálható rendszerbe az összes fontos esemény és jelentés összpontosul, mellyel idő és pénz takarítható meg.


 Központi web alapú konzol • Harmadik szint Egyszerű  Automatizált frissítés letöltés az AV motorokhoz felügyelet – Negyedik szint Központosított jelentések és riasztáskezelés

» Ötödik szint

Teljeskörű védelem

Teljesítmény optimalizáció 2009.03.31.

 Automatizálható válaszlépések  Kikényszeríthető frissítés terítés

 SQL Server 2005 & Windows Server 2003 integráció  Redundáns szerverinfrastruktúra  Exchange 2007 CCR cluster támogatás

86


A ForefrontMintacím Server Securityszerkesztése Management Console felülete


2009.03.31.

87


Mintacím szerkesztése Forefront Server Security

Management Console telepítése Rendszerkövetelmények • Mintaszöveg szerkesztése

A Forefront Server Security Management Console kiszolgáló szoftver – Második szint igényei: Windows•Server 2003 SP2 (x86) Harmadik szint IIS 6.0 with ASP.NET – Negyedik szint MS SQL 2000 Standard (SP3a) kiadás vagy MS SQL 2005 Express, Standard (vagy nagyobb) kiadás » Ötödik szint .NET Runtime 2.0  automatikusan települ Microsoft Message Queuing (MSMQ) és MSMQ Triggers  automatikusan települ Microsoft Core XML Service 6.0 SP1  automatikusan települ

A Forefront Server Security Management Console kiszolgáló hardver igényei: CPU – x86 RAM – 128 MB HDD – 250 MB

2009.03.31.

88


Mintacím szerkesztése Amit a Forefront Server Security Management Console NEM támogat • Mintaszöveg szerkesztése

Tartományvezérlőre, Exchange vagy SharePoint szerver szerepköröket Második szint ellátó–gépre való telepítést Harmadik DMZ-ben• lévő gépekszint központi felügyeletét – Negyedik szint » Ötödik szint

2009.03.31.

89


Mintacím szerkesztése Összehasonlítás Sybari Enterprise Manager


Antigen Enterprise Manager


– Második szint

Sybari Antigen for Exchange/SMTP 8.0

• Harmadik Sybari Antigen for SharePoint 8.0

szint

– Negyedik szint Sybari Antigen for Instant Messaging » 8.0Ötödik szint Microsoft Antigen for Exchange/SMTP 9.0 Microsoft Forefront Security for Exchange Server Microsoft Forefront Security for SharePoint

2009.03.31.

90


Mintacím szerkesztése Forefront Server Security feladatok

ÜZENETEK VÍRUSELLENŐRZÉSE AZ FSE-VEL MELLÉKLETEK SZŰRÉSE AZ FSE-VEL VÍRUSELLENŐRZÉSE AZ FSSP-VEL Második szintDMOKUMENTUMOK ANUÁLIS VÍRUSELLENŐRZÉS FUTTATÁSA AZ FSSP-VEL VÍRUSDEFINÍCIÓS ADATBÁZISOK FRISSÍTÉSE • Harmadik szint



2009.03.31.

91


Mintacím szerkesztése •

Microsoft Internet Security & Mintaszöveg szerkesztése Acceleration Server 2006 – Második szint


2009.03.31.

92


Mintacím szerkesztése Mi az ISA Server 2006? • Mintaszöveg szerkesztése – Második szint • Harmadik szint – Negyedik szint Három felhasználási terület » Ötödik szint

Az Exchange, SharePoint és a Web alkalamzások biztonságos távoli hozzáférésének biztosítása

2009.03.31.

Biztonságos, és sávszélesség optimalizált kapcsolódás a fiókirodákhoz

A belső hálózat védelme a felhasználók által letöltendő nem kívánatos tartalmak ellen

93




ISA 2004

Új ISA 2006 funkciók

Az ISA Server 2006 újdonságai

2009.03.31.

94


Mintacím szerkesztése Még több varázsló

Web alapú elemek


OWA SharePoint Web servers Rules and network objects

Egyéb elemek SMTP email Exchange RPC Custom rule

A varázslók elkészítik a hálózati elemeket és szükség esetén beállítják a link translation-t is 2009.03.31.

95


Mintacím szerkesztése Hitelesítés: Kliens  ISA HTML form


2009.03.31.

RADIUS OTP SecurID

HTTP basic Client-side SSL None Third-party bővítmények

96


Mintacím szerkesztése Hitelesítés: ISA  Validator Active Directory


2009.03.31.

Kerberos LDAP

RADIUS RADIUS OTP SecurID

97


Mintacím szerkesztése Igen

Kliens hitelesítési kérése

Hitelesítő adatok kérése

Hitelesítés a Listener-en?

• MintaszövegNemszerkesztése • Harmadik szint Egyező publikációs szabály keresése – Negyedik szint » Ötödik szint

A szabály az “All users” -re vonatkozik?

Nem


Igen

Hitelesítési forgalom

Authentikáció a Backend-en?

Igen


Nem

2009.03.31.

98

Publikált tartalom elérése

– Második szint


Mintacím szerkesztése Single sign-on • Mintaszöveg szerkesztése – Második szint • Harmadik szint – Negyedik szint » Ötödik szint

Azonos listener-re publikált alkalmazások esetén egyszer elegendő megadni a hitelesítési adatokat

2009.03.31.

99


Mintacím szerkesztése Tanúsítvány típusok

Szükséges • Mintaszöveg szerkesztése Front-end Az ISA szerver a kliens felé történő – Másodikhitelesítéséhez, szint és az SSL kapcsolat • Harmadik szint felépítéséhez – Negyedik szint szerver és az ISA között felépülő Back-end A publikált » Ötödik szint SSL kapcsolat esetén Opcionális

ISA Server Az ISA szerver hitelesítheti magát az kliens erőforrást publikáló belső gép felé Távoli kliens A távoli kliens hitelesítheti magát az ISA felé

2009.03.31.

100


Mintacím szerkesztése Tanúsítványokkal kapcsolatos riasztások •

A tanúsítvány hibák most Mintaszöveg szerkesztésemár a riasztások között szerepelnek – Második szint Jobb, mint az ISA 2004 • Harmadik szint általános hibabejegyzése: – Negyedik szint “certificate not installed » Ötödik szint somewhere”

2009.03.31.

101


Mintacím szerkesztése Form alapú hitelesítés – Form formátumok

• Felhasználónév Mintaszöveg és szerkesztése jelszó – Második szint Felhasználónév és PIN (passcode) • Harmadik szint Kombináció (mindkettő megadása)

– Negyedik szint ID+passcode: SecurID-hoz vagy RADIUS OTP-hez » Ötödik szint Az ISA Server ellenőrzi

ID+jelszó: a delegációhoz A back-end ellenőrzi

Előre definiált form készlet Általános ISA Server Exchange 2009.03.31.

102


Mintacím szerkesztése Session vezérlés Sütik


2009.03.31.

Persistent Session

Timeout érték Idle time Session időtartam

Kijelentkeztetés Logoff URL hozzáadása a publikációs szabályhoz Sütik törlése kijelentkezéskor

103


Mintacím szerkesztése Link translation Miért jó?


2009.03.31.

A belső erőforrás részletek kívülről nem elérhetőek A külső felhasználók könnyedén elérhetik a belső erőforrásokat bonyolult URL-ek használata nélkül

Mik az újdonságok? Automatikusan engedélyezett Gyorsabb fordító motor Nemzetközi nyelvtámogatást tartalmaz

104


Mintacím szerkesztése Web publikálás terhelés elosztással •

Web szerver farmok Mintaszöveg szerkesztésepublikálásához Nem szükséges NLB a web – Második szint kiszolgálókon • Harmadik szint Megoldódik a NAT és a ROUTE – Negyedik szint » Ötödik szint

problémája Az ISA gondoskodik a kiszolgálók azonos terheléselosztásáról

Választható terhelés elosztás típusok Cookie (OWA alapértelmezés) Forrás IP (RPC/HTTP alapértelmezés)

2009.03.31.

105


Mintacím szerkesztése DiffServ prioritizáció •

Globális HTTP szabály Mintaszöveg szerkesztéseAz adott URL-hez vagy tartományhoz rendelhető – Második szint forgalom prioritási érték • Harmadik szint A DiffServ konfigurációnak – Negyedik szint egyeznie kell a routeren » Ötödik szint beállítottakkal Csak HTTP és HTTPS forgalomnál működik Más protokollokhoz nem adódik hozzá a DiffServ bits A nem HTTP vagy HTTPS forgalmakról eltávolítható a DiffServ érték

2009.03.31.

106


Mintacím szerkesztése Prioritizálás használata

1


A megadott méret feletti kérés vagy válasz forgalmakra a következő prioritási szabály fog vonatkozni 2009.03.31.

107


Mintacím szerkesztése Prioritizálás használata • Mintaszöveg szerkesztése – Második szint • Harmadik szint – Negyedik szint » Ötödik szint

* a teljes ágra vonatkozik, de figyelembe veszi a szabályok sorrendjét 2009.03.31.

108

2



This is what you 2009.03.31.

use for HTTPS sites

109

3



2009.03.31.

110

kész


Mintacím szerkesztése Flood mitigation konfiguráció • Mintaszöveg szerkesztése – Második szint • Harmadik szint – Negyedik szint » Ötödik szint

2009.03.31.

111


Mintacím szerkesztése ISA 2006 célhardveren • Mintaszöveg szerkesztése – Második szint • Harmadik szint – Negyedik szint » Ötödik szint

1. Hardware előtelepített, bekonfigurált és előtesztelt ISA Szerverrel érkezik 2. A gyártói konfiguráció csökkenti a támadási felületet

2009.03.31.

3. Egyszerűen beszerezhető és azonnal üzembe állítható 4. Egyedi webes konfigurációs felület a könnyebb kezelhetőség érdekében

112


Mintacím szerkesztése ISA Server 2006 feladatok

ERŐFORRÁSOK PUBLIKÁLÁSÁNAK ELŐKÉSZÍTÉSE EXCHANGE 2007 OWA FELÜLETÉNEK PUBLIKÁLÁSA


2009.03.31.

113



Intelligent Application Gateway 2007


2009.03.31.

114


Mintacím szerkesztése Intelligent Application Gateway

Az IAG SSL központú alkalmazás hozzáférést és végpontbiztonsági menedzsment védelmet biztosít, miközben precíz hozzáférés-szabályozást és mély tartalmi vizsgálatot tesz lehetővé eszközök, helyszínek, az Intranet és a kliens/szerver erőforrások között.

• Mintaszöveg szerkesztése – Második szint • Harmadik szint

Hozzáférés vezérlés Vagyonvédelem – Negyedik szint » Ötödik szint Biztonságos, böngésző alapú hozzáférés a vállalati alkalmazásokhoz, és a különböző kiszolgálókon lévő adatokhoz

2009.03.31.

Biztosítja a hálózat, és az alkalmazás infrastruktúra integritását és biztonságát azáltal, hogy blokkolja a rosszindulatú forgalmat és támadásokat

Információvédelem

Az átfogó házirendszabályozás segíti a kritikus adatok használatával járó üzleti irányelvek teljesítését

115


Mintacím szerkesztése Gateway Roadmap • Mintaszöveg szerkesztése – Második szint készülékek ISA Server • Harmadik szint• Integrált 2006-tal és IAG 2007-el

• Whale Intelligent Application Gateway (ISA Server 2004-el) • Express Edition • Enterprise Edition • Alkalmazás optimalizálók • Hálózati konnektorok

összes optimalizálót és – Negyedik szint • Az konnektort tartalmazzák » Ötödik szint

2009.03.31.

• Frissített szoftverek az ISA és az IAG számára • OEM-ready • Folyamatos 3rd-party alkalmazás támogatás • Egy szerveres konfiguráció

• Egyesített hozzáférési átjárót biztosít a “Longhorn” Server számára • OEM készülékek • Szoftver elérhetőség

• NAP, IPv6, 64-bit támogatás • Szilárd házirend keretrendszer • Szélesebb hitelesítési eszközök (ADFS, smart kártya) • Megnövelt hálózati kapcsolódás • Javított vállalati alkalmazás támogatás

116


Mintacím szerkesztése Biztonságos alkalmazás-hozzáférés

• Minden egyes felhasználó eszközének felügyelete többletköltséget jelent a vállalatnak. • A nem felügyelhető végpontok potenciális veszélyforrások. • A vállalatok 35%-a szembesül az azonosítás nélküli céges erőforrások elérési problémájával.


Probléma

– Második szint • •Harmadik szinta böngésző alapú erőforrás elérést az alkalmazottaim számára, így is biztosítva Engedélyezni szeretném számukra a rugalmas munkalehetőséget. Mindezt természetesen megfelelő biztonsági szabályok és – Negyedik kontrollok mellett. szint

» Ötödik szint

Igény

Megoldás

• Az Intelligent Application Gateway biztosíthatja a felhasználók számára a megfelelő kontrollok melletti kapcsolódás lehetőségét a vállalati infrastruktúrához. Az IAG bevezetésével a vállalati infrastruktúra összes alkalmazásához egyetlen bejárati pont jön létre, ezáltal a felhasználók számára is nagyon egyszerűen használó webes felületen keresztül lehet elérhetővé tenni az összes szükséges alkalmazást. Eközben a teljes forgalmat alkalmazásrétegbeli szűrőkön keresztül felügyelhetjük.

2009.03.31.

117


Mintacím szerkesztése Alkalmazás hozzáférési funkciók • Mintaszöveg szerkesztése

SQL Server

Active Directory

File Shares

– Második szint • Harmadik szint

ISA Server

– Negyedik szint » Ötödik szintIntelligent Application

IIS

Gateway™

External Firewall SharePoint Server Exchange Server

2009.03.31.

118


Mintacím Testreszabhatószerkesztése vállalati biztonság

• A növekedéssel együtt gyakran együtt jár a partnerekkel való integráció is • A külső adatokat külön kell kezelni a belső védendő adatoktól, ez megnöveli a felügyeleti költségeket. • Nagyobb felhasználói elégedettséget szükséges kivívni a biztonsági szint megtartása mellett.


Probléma

– Második szint Egyaránt elérhetővé szeretném tenni a felügyelt és a nem felügyelt gépeken keresztül is a • •Harmadik szint böngésző alapú hálózati erőforrások elérését úgy, hogy a kommunikáció védtelen hálózati közegen

Igény

Megoldás

keresztül kell, hogy áthaladjon. – Negyedik szint • Az összes alkalmazás rétegbeli támadási felületet blokkolni kelI legyen az akár vírus vagy féreg, » Ötödik szint esetleg hacker támadás.

• Az Intelligent Application Gateway használatával részletesen szabályozható és betartatható a webes felületen publikált erőforrások védelme. • A végpontok ellenőrzésén keresztül központilag szabályozható a vállalati rendszer alkalmazásszintű védelme.

2009.03.31.

119


Mintacím szerkesztése Vállalati biztonsági funkciók • Mintaszöveg szerkesztése – Második szint

Web LDAP

• Harmadik szint

Oracle

– Negyedik szint » Ötödik szintIntelligent Application Gateway

External Firewall

2009.03.31.

IBM / Lotus

SharePoint Server

120

SAP

Exchange Server

Active Directory


Mintacím szerkesztése Információvédelem

• A vállalati adatok gondatlan kezelése miatt sérülhet a cég biztonsági szabályzata. • A támadások 70%-a az alkalmazásrétegen keresztül történik. • A nem menedzselt végpontok a belső adatok potenciális veszélyforrásai.


Probléma

– Második szint • •Harmadik szinta vállalati erőforrások bizonyos körét a külső felhasználóim számára is Szeretném kiterjeszteni (partnerek, ügyfelek). Szeretnék egy olyan mechanizmust, amely biztosítja azt a védelmet, hogy – aNegyedik szint gépeken keresztül tudják a külső felhasználók elérni a céges csak megfelelően ellenőrzött adatainkat,ezáltal is védve infrastruktúránkat.

» Ötödik szint

Igény

Megoldás

• Az Intelligent Application Gateway használatával részletesen szabályozható és betartatható a webes felületen publikált erőforrások védelme. • A végpontok ellenőrzésén keresztül központilag szabályozható a vállalati rendszer alkalmazásszintű védelme, mellyel biztosítható a cég üzleti és jogi igényeinek kielégítése.

2009.03.31.

121


Mintacím szerkesztése Információvédelmi szolgáltatások RADIUS

SharePoint Server SAP Web Portal

• Mintaszöveg szerkesztése – Második szint • Harmadik szint

ISA Server

– Negyedik szint » Ötödik szintIntelligent Application

SQL Server Web

Gateway

External Firewall

Active Directory

Exchange Server ISA Server

2009.03.31.

122


Mintacím szerkesztése Az integrált megoldás előnyei Jellemzők

ISA Server funkcionalitás

Intelligent Application Gateway funkcionalitás

• Átjáró az a Site to Site VPN megvalósításában

• Az ISA szerver által kezelt

Proxy / Web Cache

• Egy teljes értékű hálózati rétegben működő tűzfal integrált proxy és Web caching funkciókkal

• Az ISA szerver által kezelt

Alkalmazás hozzáférés

Hozzáférés vezérlés

Központi iroda


• Web alkalmazások biztonságos, és előre hitelesített publikációja (pl.: Exchange Server, SharePoint Server)

• Szabály alapú különbségtétel szinte minden alkalmazásra, hálózatra, kiszolgálóra és adatforrásra • Flexibilis, alkalmazás intelligens SSL VPN bármely eszközről vagy helyről • Részletesen szabályozható alkalmazás jogosultságok • Testre szabható, azonosítás alapú portál felület

• Hálózati határvédelem Stateful csomagszűréssel • Alkalmazások védelme kiterjesztett alkalmazás-rétegbeli szűrőkkel

• Mélyszintű alkalmazás tartalom szűrés fel-, és letöltés tartalom ellenőrzéssel • A vállalati infrastruktúrával való integráció segít megőrizni az erőforrások integritását • A kiterjesztett monitorozás és naplózás segít a felhasználói aktivitásokat nyomon követni

• Harmadik szint

– Negyedik szint » Ötödik szint Erőforrás védelem

Információ védelem • Teljes körű IPsec VPN hálózati kapcsolat kezelés integrált tűzfal funkcionalitással

2009.03.31.

• Böngésző alapú teljes értékű hálózati hozzáférés • Erős végpont biztonsági szabályok segítenek a megfelelő egészségi állapotot fenntartani • Még részletesebben szabályozható böngészőn keresztüli webes és nem webes alkalmazások elérése • Elvégzi a kliens oldali „takarítást”, ezáltal a vállalati információk védettek maradnak

123


Mintacím szerkesztése Mit válasszunk? Erőforrás

ISA Server 2006

Intelligent Application Gateway

Exchange Server, SharePoint Portal Server

• HTTP(S) protokoll ellenőrzés • Elő-hitelesítés (multi-factor, forms based) • Mély OWA specifikus tartalom szűrés • Alkalmazás és felhasználói szintű szabályok • SharePoint link translation

• • • • • • • • •

Teljes körű elő-hitelesítés támogatás (2-factor, testre szabható forms-based) Belső erőforrások (user, content, file, URL) szabály alapú vizsgálata Végpont biztonsági ellenőrzése Dokumentumok fel-, és letöltési szabályozása Kliens oldali cache ürítés és melléklet szabályozás a Wiper™ technológiával Több portál párhuzamosan A portál felület további Web Part-okkal bővíthetők IAG Web Part for SharePoint Single Sign-on alapú erőforrás elérés


• Harmadik szint

File Share Access

• N/A

felhasználó home könyvtárához való hozzáférés engedélyezés a beépített File Access – Negyedik szint • Aalkalmazás Web Part-on keresztül • Fájl szintű ACL vezérlés szabályokon keresztül » Ötödik szint • Session felügyelet • Integrált jelszókezelés

Kliens / Szerver

• RPC és az RPC/HTTP(S) csak az Exchange Server számára • IPsec VPN szükséges az összes többi alkalmazás számára

• Támogat bármilyen kliens oldali alkalmazást vagy szerver oldali proxy-t • Alkalmazás alapú folyamat vezérlés • Képes MD5-hash számításos vizsgálattal megállapítani, hogy csak az adott szabályban engedélyezett alkalmazást futtathassa csak a felhasználó az SSL VPN csatornán keresztül

Mobil eszköz

• Exchange ActiveSync publikálás • Tanúsítvány alapú hitelesítés

• Böngésző specifikus microportál oldalak egyedi login/logout felülettel • Automatikus eszköz felderítés

Egyéb eszköz

• • • •

• Testre szabható web portál • Single Sign-on több adatforrás felé • Azonnali publikáció szinte bármilyen nem web alapú alkalmazás felé

Protokoll szűrés (SMTP, DNS, …) Web alapú alkalmazások Általános szerver publikáció IPsec VPN karantén

2009.03.31.

124


Mintacím szerkesztése ISA Server 2006 Integráció • Mintaszöveg szerkesztése – Második szint Egyedi hálózati sablonok az SSL VPN gateway • Harmadik szint előkonfigurálásához – Negyedik szint Csomag szűrés az összes porton, és minden » Ötödik szint forgalomra Előtelepített Windows Server OS

2009.03.31.

125


Mintacím szerkesztése Az IAG 2007 telepítés előfeltételei Kiszolgálói rendszerkövetelmények

• Mintaszöveg szerkesztése Támogatott böngészők (operációs rendszerek szerint): Windows: IE6, IE7, Netscape Navigator 7.1.x, Netscape Navigator 7.2.x, Mozilla 1.7.x, Firefox 1.0.x Windows Mobile 2003: Pocket IE MAC OS•X:Harmadik Safari 1.2.4, Safari 1.3 és Safari 2.0, Netscape Navigator 7.1.x, Netscape Navigator 7.2.x, szint Mozilla 1.7.x, Firefox 1.0.x, Camino 0.83 – Negyedik szintNetscape Navigator 7.2.x, Mozilla 1.7.x, Firefox 1.0.x Linux: Netscape Navigator 7.1.x,

– Második szint

» Ötödik szint

A kiszolgáló hardver követelményei: A Microsoft OEM partnereken keresztül árusítja, így csak a megfelelő hardverrel együtt vásárolható.

2009.03.31.

126


Mintacím szerkesztése SharePoint szerver hozzáférés SharePoint Server portál integráció

A SharePoint használható, mint a vállalat fő belépési pontja az infrastruktúrához; a bejelentkezést követően a felhasználó közvetlenül a SharePoint portál oldalra irányítható Egységes kliens/szerver, Web alkalmazás, email (Exchange, Lotus), Citrix és Telnet vezérlés SharePoint Web Part-okon keresztül (vagy bármi egyéb alkalmazás linken keresztül) Biztosítható a felhasználó home folder-ének elérése bármilyen böngészőn keresztül az IAG • Harmadik szint beépített fájl hozzáférési plug-injét használva, mint egy Web Part


Belső alkalmazás, és pozitív – Negyedik szintlogikai szabály kikényszerítés Korlátozza/engedélyezi a fel-,szint és letöltést a végpont állapotától függően » Ötödik Felismeri, ha a felhasználó Microsoft Office 2003 SP1 alkalmazást használ Lehetővé teszi az adminisztrátor számára, hogy korlátozott zónákat hozzon létre eltérő felhasználói szerepkörök számára, ahová egyedi URL összeállítások publikálhatóak Blokkolja az alkalmazás-rétegbeli támadásokat (pl.: cross-site scripting, buffer overflow)

E-mail alapú riasztás mechanizmus A SharePoint rendszerhez tartozóan is tartalmaz e-mail alapú értesítést különböző riasztási eseményekhez, pl.: tartalom változás, belső link módosítás, stb…

2009.03.31.

127


Mintacím Singleszerkesztése Sign-On Nincs szükség címtár replikációra A konkurens megoldásoknak lokális felhasználói • Mintaszöveg szerkesztése nyilvántartásra van szükségük

– MásodikWeb szinthitelesítés Transzparens HTTP 401 kérés szint • Harmadik

Statikus–Web form szint Negyedik Dinamikus böngésző érzékeny Web form

» Ötödik szint

Integrált jelszócsere vezérlés

2009.03.31.

128


Mintacím szerkesztése Részletes hozzáférés vezérlés •

Integrált kliens gép ellenőrzés Alkalmazás specifikus ellenőrzések Mintaszöveg szerkesztése finomhangolási lehetőségekkel Korlátozó/engedélyező – Második szint hozzáférés szabályok dokumentumok • Harmadik szint szerkesztéséhez, fel-, és letöltéséhez a – Negyedik szint végpont állapotához köthetően » Ötödik szint Felhasználói profilokhoz rendelhető URL zónák az erőforrások elkülönítéséhez Varázsló alapú szabály készítés egy részletesen szabályozható Boolean Editorral (XML back-end)

2009.03.31.

129


Mintacím szerkesztése Csoport hitelesítés • Alkalmazásonként Mintaszövegkülön-külön szerkesztése szabályozható csoport hitelesítés – Második szint keresési Egyszerűen használható felület,• amely lehetővé Harmadik szintteszi a rendszergazda számára a könnyű – Negyedik szint felhasználó és»csoport Ötödik szint objektumok összeválogatását Felhasználók és/vagy csoportok számára adható alkalmazás specifikus jogok: Allow View Deny 2009.03.31.

130


Mintacím szerkesztése Végpontok biztonsági ellenőrzése Host Integrity Check

Ellenőrizhető paraméterek: • Mintaszöveg szerkesztése Antivírus szoftver Lokális tűzfal Anti-spyware alkalmazás • Harmadik szint Operációs rendszer számos paramétere

– Második szint

– Negyedik szint Az ellenőrzés a bejelentkezés előtt vagy utáni lépésként is elvégezhető » Ötödik szint Tartalom érzékeny végpont ellenőrzés A rendszergazda testreszabott szabályokat készíthet az alábbiak alapján: Kliens környezet (vállalati, nem felügyelt, Internet Kiosk) szerint Igényelt alkalmazásművelet szerint

2009.03.31.

131


Mintacím szerkesztése Felhasználói élmény – Mobil támogatás Hitelesítő szerver


IAG megközelítés

1. 2. 3. 4.

• Harmadik szint – NegyedikExchange szintServer w/ActiveSync » Ötödik szint Exchange Server w/ActiveSync

Hitelesítő szerver

SSL VPN megközelítés 1. 2. 3.

4. SSL VPN Gateway

5. 6. 7.

2009.03.31.

A felhasználó megadja azonosító adatait IAG gateway fogadja a hitelesítési adatokat IAG gateway továbbítja az adatokat az ActiveSync szerver számára A felhasnzáló automatikusan és a háttérben bejelentkezik az ActiveSync szolgáltatásra a Single Sign-on technológiát használva

A felhasználó megadja azonosító adatait Az SSL VPN fogadja a hitelesítési adatokat Az SSL VPN megadja a hozzáférést a mobil portálhoz A felhasználónak ismét meg kell adni hitelesítő adatait A felhasználó ismét megadja azonosító adatait A hitelesítő adatok átjutnak az ActiveSync szerverre A felhasználó most már megkapja a hozzáférést az ActiveSync szerverhez

132



SSL VPN és a Portál interfész integráció


Engedélyezett SSL VPN alapú alkalmazás publikáció a meglévő infrastruktúrába

2009.03.31.

133


Mintacím szerkesztése Az alap megoldás felépítése • Mintaszöveg szerkesztése – Második szint Eszközök és hálózat típusok Irodai PC/ LAN Céges laptopok Otthoni PC Internet kiosk Mobil/Wireless

• Harmadik

Intelligens házirend szint menedzsment

– Negyedik szint » ÖtödikVégpont szint

Felhasználó típusok Alkalmazottak Partnerek Vásárlók

2009.03.31.

oldali biztonság

Alkalmazás biztonság

Microsoft IBM Citrix File Systems PeopleSoft SAP Lawson Portálok Saját alkalmazások

SSL VPN + IPsec VPN

134


Mintacím A rendszerszerkesztése építőelemei – Második szint

Kikényszerítés

Alkalmazásvédelem

• Harmadik szint

Tartalom szűrő API

LDAP/RADIUS

Hozzáférés Non-Web Servers

Hitelesítés és meghatalmazás

Titkosítás

Melléklet törlés

2009.03.31.

Web alkalmazás – Negyedik szint tűzfal » Ötödik szint

Directory Server

Végpont jogosultság

Végpont biztonság

Split Tunneling

• Mintaszöveg szerkesztése Felhasználói felület

Web Server

Házirend

Web (HAT) Non-Web (Tunneling) Monitoring

135


Mintacím szerkesztése SSL VPN alapelemek • Mintaszöveg szerkesztése Authentication – Második szint Security Authorization

Alkalmazások Web

Tunneling

• Harmadik szint Portal

Kliens

SSL VPN Gateway

Egyszerű TCP

– Negyedik szint Management » Ötödik szint

További nem Web alapú

Az SSL VPN megoldás alapelemei: Tunneling – A Web és nem Web-alapú alkalmazások forgalmának átvitele SSL-en keresztül Kliens oldali biztonság – A biztonsági jogosultság ellenőrzés, gyorsitótár törlése, időtúllépések Hitelesítés – Felhasználói könyvtárak (Active Directory), az erős hitelesítés támogatása, egyszeri bejelentkezés Meghatalmazás – Az alkalmazásokhoz való hozzáférés engedélyezése és tiltása Portál – Felhasználói élmény, GUI

2009.03.31.

136


Mintacím szerkesztése SSL VPN Tunneling technológia

Port átirányítás Kezelt alkalmazások: MS Terminal; Citrix; Telnet; SSH; SAP Client; Native Drive Mapping, stb. – Technológia: MásodikEgyszerű szint TCP Relay; HTTP proxy; HTTP átirányítás Socket átirányítás • Harmadik szint Kezelt alkalmazások: – Negyedik Outlook; IP-alapúszint alkalmazások; fürtözött terminál szolgáltatások; Notes fürt, stb.» Ötödik szint Technológia: “SOCKS-ify” komplex alkalmazások Hálózati konnektor Kezelt alkalmazások: Bármilyen IP (TCP/UDP/ICMP) alkalmazás; KI / BE útvonalak Technológia: Teljes hálózat hozzáférés (Virtual Client Driver) Automatizált ActiveX / Java Applet komponensek a natív C/S alkalmazások összekötéséhez


2009.03.31.

137


Mintacím Végpontszerkesztése biztonság

Intelligens SSL VPN végpont Teljes végpont biztonság és kliens szűrési lehetőségek Észleli és jelenti az ügyfél biztonsági állapotát lista – Out-of-the-box Második szint Szkriptelési nyelveken keresztül bővíthető • Harmadik szint Az észlelések alapján intelligens házirendeket működtet – Negyedik szint Portál hozzáférés Ötödik szint Alkalmazás »hozzáférés Alkalmazás funkciók (SAP iView; Citrix nyomtatás; OWA letöltés/feltöltés) Quarantine platform Engedélyezi a rendszergazdák számára, hogy vállalat-specifikus viselkedéseket biztosítson


2009.03.31.

138


Mintacím szerkesztése Alkalmazás védelem

Hozzáférés házirendek Az alkalmazásokban lévő funkciók engedélyezése és tiltása (Pl.: Lotus Domino Web Access mellékletek feltöltése és letöltése a végpont jogosultsága alapján) – Második szint Alkalmazás tűzfal – az alkalmazások védelmére Előre definiált pozitív logikai szabályok • Harmadik szint Egyszeri belépés – Negyedik szint A szükséges alkalmazás belépési metódusok ismerete » Ötödik szint Kattintás az indításhoz Felhasználói menüből indítható kliens oldali alkalmazás Folyamat tisztítási ügynök Az alkalmazásokhoz tartozó gyorsitótárak törlése (Pl.: Citrix cache, SharePoint offline mappa) A hálózati folyamatok védelme Figyelmen kívül hagyja azokat a parancsokat, melyek az időtúllépésekért felelnek Ahol szükséges biztonsági kijelentkező gombot hoz létre


2009.03.31.

139


szerkesztése AMintacím szabálymotor komponensei Az IAG széleskörűen beállítható és VPN-t kínál • multi-dimenziós MintaszövegSSLszerkesztése

Modulárisan tervezett és elválasztható az alap IAG platformtól

– Második szint

Fontosabb képességek • Harmadik szint Authentication / Authorization – Negyedik szint

Felhasználó / Csoport azonosítás és besorolás » Ötödik szint

Alkalmazás tűzfal Alkalmazásonkénti védelem Tartalom vizsgálat

Végpont oldali biztonság Felhasználó helyszíni dimenzió Gépek egészségállapota

2009.03.31.

140


Mintacím szerkesztése Felhasználói hozzáférés adatáramlása •A felhasználók HTTPS-en keresztül csatlakoznak; a HTTP kérések átirányításra kerülnek


•A nem menedzselt eszközökön programok, folyamatok, fájlok, verziók, definíciós frissítések életkora és x.509 tanúsítványok után kutat

– Második szint

•Ha az eszköz konfigurációja elér egy minimális házirend szintet, a felhasználó kap egy testreszabott hitelesítési oldalt, ahol igazolnia kell magát

• Harmadik szint


•Az átjáró ellenőrzi az igazolást, a jelet és a konfigurációt és ugyan úgy megkeresi a felhasználói fiókot a belső AD-ban, hogy csoportjogokat és további felhasználó specifikus változókat ellenőrizzen

•A felhasználó hozzáférési jogosultsága és az eszköz jogosultsági szintje alapján az engedélyezett alkalmazások egy listáját kapják meg a felhasználók

•A felhasználó elkezdi a tiszta, HTTPS-en keresztüli web-alkalmazások használatát az egyes alkalmazásokba való külön bejelentkezések nélkül. A kliens / szerver alkalmazások egy letöltött proxy komponens segítségével HTTPS-en keresztül kapcsolódnak egymáshoz

•Miután a felhasználó kilép, vagy az ütemezés megtörtént, vagy inaktív időtúllépés állt elő a felhasználói folyamat befejeződik. Minden felesleges adat, amit maga után hagyott a program, törlődik.

2009.03.31.

141


MintacímIAG szerkesztése ∑

Az Intelligent Application Gateway (IAG) egy biztonságos távoli hozzáférés megoldás, mely a felhasználóknak vezérelt hozzáférést, infrastrukturális védelmet, a vállalati alkalmazásokhoz és bármilyen eszközről vagy helyről származó adatokhoz információ biztosítékot nyújt.


Integrált alkalmazás Biztonságos távoli védelem hozzáférés• Harmadik szint • Különböző végpontokról történő házirend alapú, alkalmazásszinten történő kapcsolatfelvétel az IAG portál felületéhez, és az abban publikált alkalmazásokhoz, fájl megosztásokhoz, és hálózati erőforrásokhoz • Teljes körű hitelesítési megoldások: form alapú hitelesítés Active Directory-n RADIUS-on, LDAP-on és SecurIDn keresztül • Web portál Single Sign-on technológiával • Java, JavaScript, ActiveX támogatása • Kapcsolódás vezérlés a kliens/szerver alkalmazásokhoz

• Átfogó protokoll érvényesítés és

– Negyedik szint megfelelőségi vizsgálat pozitív és negatív logikai szabálykészlettel • URL álcázás, és teljes » Ötödik szint funkcionalitás a távoli felhasználók

2009.03.31.

számára dinamikus URL újraírás és HTTP paraméter szűrésen keresztül • Az alkalmazás optimalizálók OOB védelmet biztosítanak a magas szintű Webes alkalmazások számára (Pl.: OWA, SharePoint, SAP, és WebSphere) • Átfogó ellenőrzés és jelentéskészítés integrálódik harmadik féltől származó kockázat és házirend menedzsmenten alapuló platformokkal

Teljes körű házirend végrehajtás • Végpont biztonság ellenőrzés ügyfél-oldali házirenddel és folyamatmenedzsmenttel • Cache Wiping - eltávolítja a letöltött fájlokat és oldalalkat, URL-eket, egyedi gyorsítótárakat, cookie-kat, az előzményeket és felhasználói megbízásokat • Biztonságosabban és eredményesebben együttműködik a speciális irányított házirendekkel, melyek az alkalmazottakra, a gyártókra a vállalkozókra és vásárlókra vonatkozhatnak

142


Mintacím szerkesztése Néhány IAG referencia • Mintaszöveg szerkesztése

Gyártás

– Második szint • Harmadik szint Pénzügy és biztosítás


Betegellátás és oktatás

Energetika

Kormányzat

2009.03.31.

143


Mintacím szerkesztése IAG 2007 feladatok

IAG PORTÁL WEBOLDAL LÉTREHOZÁSA OWA PUBLIKÁLÁSA AZ IAG PORTÁLRA SZABÁLYOK HASZNÁLATA Második szintKNAPCSOLÓDÁSI EM WEB ALAPÚ ALKALMAZÁS PUBLIKÁLÁSA SSL VPN AZ IAG KONNEKTORÁN KERESZTÜL • Harmadik szint



2009.03.31.

144


Mintacím szerkesztése Ajánlott weboldalak • • •

• • • • •

• •

Microsoft Forefront – http://www.microsoft.com/forefront/default.mspx Microsoft Forefront Client Security – http://www.microsoft.com/forefront/clientsecurity/default.mspx Microsoft Forefront Server Security – http://www.microsoft.com/forefront/serversecurity/default.mspx Microsoft Forefront Edge Security and Access – http://www.microsoft.com/forefront/edgesecurity/default.mspx – Negyedik szint Microsoft Forefront Security for Exchange Server – http://www.microsoft.com/forefront/serversecurity/exchange/default.mspx » Ötödik szint Microsoft Forefront Security for SharePoint – http://www.microsoft.com/forefront/serversecurity/sharepoint/default.mspx Forefront Server Security Management Console – http://www.microsoft.com/forefront/serversecurity/mgmt/default.mspx Microsoft Office Communications Server 2007 – http://office.microsoft.com/en-us/communicationsserver/FX101729111033.aspx Microsoft Internet Security and Acceleration Server 2006 – http://www.microsoft.com/ISAServer/default.mspx Intelligent Application Gateway 2007 – http://www.microsoft.com/forefront/edgesecurity/iag/default.mspx


• Harmadik szint

2009.03.31.

145

Mintacím szerkesztése

Recommend Documents