590 likes | 694 Views
FEP 2010. Session SEC203 Olivier Detilleux - VNEXT Stephane Saunier – Microsoft France. Stand C11. Editeur. +. Consulting IT. =. +. R&D. Overview. FEP 2010 en quelques mots. Les objectifs de conception de cette nouvelle version ont été :
E N D
FEP 2010 Session SEC203 Olivier Detilleux - VNEXT Stephane Saunier – Microsoft France
Stand C11 Editeur + Consulting IT = + R&D
FEP 2010 en quelques mots Les objectifs de conception de cette nouvelle version ont été : • Une simplification du déploiement des moyens de protection • Une meilleur gestion des menaces sur des topologies et des tailles d’ environnements très varies. • Une amélioration des moyens de réponses réactives ou proactives. • Réduction de coûts de gestion par rationalisation des consoles de supervision SCCM et SCOM.
FEP 2010 avec SCCM • On réutilise la souplesse des topologies disponibles sur SCCM • Hiérarchies de sites • Réseau d’agences • Gestions hors DMZ et Intranet Management Point (MP) 192.168.20/24 – SLOW Client Client WSUS / DP WSUS / DP Site: SYD 192.168.100/24 - FAST Site Server & Site DB Site
FEP 2010 avec SCCM et SCOM • On réutilise la souplesse des topologies disponible sur SCCM • Hiérarchies de sites • Réseau d’agences • Gestions hors DMZ et Intranet Couplé à un suivit en temps réel des machines sensibles Management Point (MP) 192.168.20/24 – SLOW Client Client WSUS / DP WSUS / DP SCOM Site: SYD 192.168.100/24 - FAST Site Server & Site DB Site
Si vous ne désirez pas utiliser SCCM • Vous possédez déjà un autre outil de télédistribution de paquets ou vous privilégiez l’usage des GPO d’AD … • FEP 2010 s’intègre parfaitement à vos outils tiers ( ou AD ) pour ce qui est de la distribution du code client. • WSUS ou les partages de réseaux restent disponibles pour gérer les mises à jours de signatures • SCOM reste utilisable en suivit de l’état du parc ( alertes et rapports )
Sans SCCM ni SCOM … • Cas de machines isolées par exemple … • Un media peut être préconfiguré avec le code d’installation du client et une configuration prédéfinie. • WSUS ou les partages de réseaux restent disponibles pour gérer les mises à jours de signatures • Aucun suivit n’est possible par défaut mais sur Vista et Seven, il est possible de d’activer le service « Windows Event Collector » pour centraliser les évènements générés par FEP 2010 • D’autres outils de suivit/rapport basés sur les évènements Windows peuvent aussi être utilisés.
Architecture WSUS Serveur d’Infra Configuration Manager Console FEP UI Configuration Manager Server Configuration Manager Agent Forefront Common Client Event log Configuration Manager Software Distribution Registry Configuration Manager Reporting WMI DCM FEP Reports Poste Client / Serveurs FEP Warehouse Configuration Manager DB Configuration Manager FEP
La Protection capitalise aussi sur Operation Manager 2007 • Réutilisation de votre infrastructure SCOM 2007 • Pas de nouveau serveurs • Support des version R2 et suivante • Installation simplifiée • 3 Management pack à ajouter au RMS • Permet de suivre en temps réel les alertes de securité FEP • Intègre les actions de remédiation pour les alertes détectées. • Création de vues dans la base pour fabriquer ses propres rapports Root MS FEP Security Management Pack MS MS MS
Ajout de SCOM Jusqu’à 10 K machines par RMS
Déploiement SCCM • Déploiement du client • Package automatiquement créé dans SCCM • Install • Uninstall • Inclue la désinstallation d’une sélection d’Antivirus • Directement depuis la console SCCM • Update des collections FEP • Failed • Pending • Succeeded (Desktop / Servers) • Locallyremoved • Not Targeted • Out of Date • Rapports d’installation
Préinstallation « checks » • Détection et désinstallationautomatique de : • Symantec Endpoint Protection version 11 • Symantec Endpoint Protection Small Business Edition version 12 • Symantec Corporate Edition version 10 • McAfee VirusScan Enterprise version 8.5 and version 8.7 • TrendMicro OfficeScan version 8.0 and version 10.0 • Forefront Client Security version 1 including the Operations Manager agent
Installation manuelle • FEPInstall.exe • Interface graphique • Activation FW • Désinstallation AV • Ligne de commande • /s : installation silencieuse • /q : extraction des fichiers d’installation • /i : installation normale • /noreplace : ne remplace pas l’AV existant • /policy : permet de définir la stratégie AV par défaut • /sqmoptin : participe au MCEIP (Microsoft Customer ExperienceImprovementProgram)
Démo Overview console et déploiements client
Déploiement de stratégies • Par défaut 2 stratégies de sécurité sont définies : • Default server policy • Default Desktop policy • … Elles sont publiées sur les collections dynamiques • Création par « Templates » possible
Démo Déploiement politique de sécurité
Déploiement par GPO • Outillage fourni • Fichiers admx/adml pour la GPMC (stratégie ordinateur) • Permet un paramétrage complet • Outil d’Import/export des policies en GPO : FEP2010GPTool.exe • Utilisation des templates de stratégie • Import dans une GPO existante • Installation du client par GPO
Démo Deploiement politique de securité par GPO
Déploiement des mises à jours • Distribution des signatures • Mais aussi: • “Microsoft Update” • WSUS • Point de partage réseau • Possibilité de réorganiser l’ordre des sources de mises à jour • Optimisation des séquences de mise à jour par l’introduction d’un nouveau type de paquet (Binary Delta Delta)
Logique de mise à jour Choix du paquet de mise à jour en fonction du niveau de mise à jour sur le poste … ~ 55 Mb ~200KB / ~5MB 2MB /~15MB ~100KB /~1MB Signature Version: 1.42.2000.0 Engine Version: 1.4000.0 Version courrante sur MU 1 2 3 4 First Install Signature Version: 1.41.2000.0 Engine Version: 1.3000.0 Signature Version: 1.42.1500.0 Engine Version: 1.4000.0 Signature Version: 1.42.1700.0 Engine version : 1.4000.0 Forefront Client Definition Update Scenarios Full Package BDE Package Delta Package BDD Package • Scenarios de mise à jour du poste: • Première Installation – Aucune définition présente sur le poste -> « Download complet » • ( Même comportement si le poste est en retard de plus de 2 versions du moteur) • Vieilles signatures et vieille version du moteur – Récupération du package BDE. • Signature de plus de 36 heures en retard mais moteur courant – Récupération du package Delta. • Signature de moins de 36 heures et version courante du moteur – Récupération du package BDD. 1 2 3 4
Couches de protection : Overview Firewall & Configuration Management • Objectif • Réduire le temps et les coûts liés à la protection des postes. • Trouver le bon compromis entre performance et protection. Antimalware Dynamic Signature Service Generics and Heuristics Behavior Monitoring Browser Protection Network Vulnerability Shielding Anti-rootkit Malware Response “MMPC”
Couches de protection : Antimalware Firewall & Configuration Management • La protection temps réel offre une protection réactive contre les attaques. Elle permet d’optimiser les scan courts (voir “Dynamic Scan”) • Améliorations visibles : • Observe les processus / la “Registry” / les accès disque. • Performance accrues par utilisation de caches • Les fichiers conservé en cache ne sont pas re-scannés • Le cache perdure d’un reboot à l’autre • Nouvelle exclusion par “wildcard” • Control de la consommation du processeur (CPU throttling) • Scan accessible en ligne de commande. Antimalware Dynamic Signature Service Generics and Heuristics Behavior Monitoring Browser Protection Network Vulnerability Shielding Anti-rootkit Malware Response “MMPC”
Generics et Heuristics Firewall & Configuration Management • Utilisation d’une technologie d’émulation appelée “Dynamic Translation technology” pour les détections heuristiques. • Permet de découvrir les codes malicieux par leur comportement (code polymorphe difficile à détecter autrement) • Les signatures génériques permettent a une signature de détecter plusieurs centaines de variantes d’un fichier malicieux. • Régulièrement “benché” par des organismes comme AV-Comparatives.org. • Certification Advanced+ récemment obtenu sur la détection pro-active. Antimalware Dynamic Signature Service Generics and Heuristics Behavior Monitoring Browser Protection Network Vulnerability Shielding Anti-rootkit Malware Response “MMPC”
Dynamic Translation (DT) Potential malware Safe translation • DT transpose un code accédant à de vrais ressources en un code adressant des équivalents virtuels de ces ressources. • DT procède à cette translation sur le véritable CPU de la machine (pas d’émulation de ce dernier). Cela permet d’obtenir une translation rapide du code. Real Resources Virtualized Resources • HANDLE hFile; • hFile = CreateFile(L"NewVirus.exe", GENERIC_WRITE, 0, NULL, CREATE_NEW, • FILE_ATTRIBUTE_HIDDEN, NULL); • ... • push 40000000h • push offset string L"NewVirus.exe” • call dwordptr [__imp__CreateFileW@28] • cmpesi,esp • ... • push 40000000h • push offset string L"NewVirus.exe” • call dwordptr [DT_CreateFile] • cmpesi,esp DT
Behavior Monitoring Firewall & Configuration Management • Observe le comportement des processdans le but de détecter des enchainements d’actions non conforme à une utilisation normale des ressources de la machine. • Se concentre sur les processus inconnus et sur le changement de comportement des ceux qui nous sont connus. • Les détections s’effectue sur : • La gestions des processus / Fichier / Registre • Sur l’activité réseau • Sur les modification du noyau ( intégration de la technology de protection Anti Root Kit racheté à “Komoku Inc” • La détection est couplé au service DSS. Antimalware Dynamic Signature Service Generics and Heuristics Behavior Monitoring Browser Protection Network Vulnerability Shielding Anti-rootkit Malware Response “MMPC”
Behavior Monitoring ( suite ) 1 2 3 4 5 RTP Notifi -cation Queue BM syscalls Les Applications appellent des méthode/fonctions. Certaine font elles même appel à des libraires système. Dans le noyau (RTP) certain de ces appels sont loggé vers une queue d’évènements. Cette dernière est consommé en mode user par les fonction “Behavior Monitoring” de FEP. Functions provided by user mode libraries • Le noyau collecte les appels et le module BM en mode user essaye de leur donner un sens.
Behavior Monitoring - Notifications Filesystem FileCreate FileModify FileDelete FileRename FileSeek StreamsOnDirs Registry RegistryKeyCreate RegistrySetValue RegistryKeyDelete RegistryValueDelete RegistryKeyRename Network NetworkConnect NetworkData NetworkListen Other ModuleLoad ProcessCreate OpenProcess ProcessTerminate DriverLoad BootSectorChange Bon pour les “bots et spammers”. Bon pour la détection d’injection de code et installation de RootKit Bon pour les détection de “droppers” Bon pour détecter les tentatives de modification de comportement du système ou des applications
Dynamic Signature Service • SpyNet Firewall & Configuration Management • Permet de livrer en temps réel de nouvelles signatures. • Une nouvelle classe de signatures est introduite avec le « Behavior Monitoring » et la détection par « Dynamic Translation ». Ces dernières « LowFidelitySignature » ont besoin de se faire confirmer un comportement détecté comme potentiellement malicieux. • L’utilisation de DSS doit s’activer et nécessite un accès à Internet depuis le poste. Researchers Antimalware Dynamic Signature Service Generics and Heuristics • Real-Time Signature Delivery • Behavior Classifiers Behavior Monitoring Browser Protection • Reputation Vulnerability Shielding Anti-rootkit Sample Submit Real-time Signature Properties / Behavior Malware Response “MMPC” Client
NIS (Network Vulnerability Shielding) Firewall & Configuration Management Network Inspection System (NIS) est conçu pour détecter et bloquer des attaques venant du réseau Basée sur des signatures, la couverture de NIS va augmenter au fil des moispar simple mise à jour. NIS optimise le nombre de signature chargées sur une machine en fonction de son niveau de correctif de sécurité … Inutile de protéger contre les attaques d’un composant que l’on à « patché » Si le poste est totalement à jour, NIS se désactive. Antimalware Dynamic Signature Service Generics and Heuristics Behavior Monitoring Browser Protection Network Vulnerability Shielding Anti-rootkit Malware Response “MMPC”
Démo NIS
Diagnostic Scan • Quick scan in FEP 2010 • Le “Quick Scan” sur FEP 2010 est maintenant contextuel. Il sera d’autant plus complet si des signes d’infections potentielles ont été détectés depuis le dernier scan rapide. Si aucun évènement de sécurité n’est apparu depuis le dernier scan une analyse moins profonde sera faites pour impacter le moins possible les ressources de la machine. Microsoft Confidential
Démo Diagnostic Scan
MNPC Firewall & Configuration Management Portail de soumission d’échantillons non détecté ou en « faux positif ». Les requêtes de nos clients sont traitées en priorité ( enregistrements d’adresses email depuis VLSC ). Possibilité de suivre une soumission en ligne depuis le portail. Les demandes sont traitées en fonction de leur priorités et du résultat d’un premier crible d’analyse automatique. Le portail contient aussi une « encyclopédie » continuellement mise à jour des « malware » que nous détectons. Lieu de téléchargement manuel des dernières signatures Visitez le portail sur www.microsoft.com/security/portal Antimalware Dynamic Signature Service Generics and Heuristics Behavior Monitoring Browser Protection Network Vulnerability Shielding Anti-rootkit Malware Response “MMPC”
Au travers de DCM • DCM (« Desire Configuration Management ») est une fonctionnalité de SCCM permettant de suivre les machines de mon parc qui s’ écarteraient d’un model de configuration attendu. • FEP prédéfinis des modelés de sécurité basé sur une liste de « configuration item » lié au niveau de sécurité du poste. • C’est le successeur de SSA sur FCS.