В Москве состоялась конференция «Microsoft Forefront & Microsoft System Center — поднимитесь на новую высоту», на которой было представлено немало интересных докладов. Открыл конференцию генеральный директор департамента решений и систем управления Microsoft Лэрри Ореклин
По мере привлечения ИТ-ресурсов в бизнес предприятий, на ИТ-подраззделения оказывается все более сильное давление со стороны пользователей, стремящихся повысить уровень эффективности и продуктивности служб ИТ.
ИТ-специалистам приходится решать целый ряд вопросов: как лучше подойти к развертыванию новых технологий, как с наименьшими затратами вписать их в существующую на предприятии инфраструктуру и вместе с тем поднять эффективность использования ИТ на новый уровень?
Ответ Microsoft на все эти вопросы один: используйте Microsoft Forefront и Microsoft System Center — семейство продуктов безопасности и управления, в которых представлены как встроенные инструменты управления и безопасности, так и базы знаний, призванные помочь проактивно координировать работу всей ИТ-инфраструктуры.
Лэрри Ореклин обратил внимание слушателей на задачи, стоящие сегодня перед специалистами ИТ, от которых требуется:
-
быстрое устранение угроз;
-
поддержка готовности ИТ-ресурсов;
-
получение максимальной отдачи от инвестиций в информационную инфраструктуру предприятия;
-
прозрачность управления;
-
повышение производительности работы локальных и удаленных пользователей.
Опираясь на опыт внедрения проектов у своих клиентов, специалисты Microsoft разработали следующие принципы организации четырех уровней развития ИТ-инфраструктуры предприятия: базовый, стандартизированный, рационализированный и динамический. Переход с одного уровня на другой означает внедрение передовых технологий управления и безопасности, интеграции используемого программного обеспечения на всех уровнях — от применяемой операционной системы до специализированного программного обеспечения кассового аппарата, установленного в супермаркете.
Здесь докладчик кстати упомянул об инициативе DSI, с которой Microsoft выступила несколько лет назад. Создание решений, готовых к эксплуатации, — один из ключевых элементов инициативы динамических систем. Основная идея — невозможно управлять тем, что создано неуправляемым: управляемость должна быть встроена в систему на стадии разработки. Все специалисты, принимающие участие в разработке систем, должны строить их таким образом, чтобы эти системы были полностью готовы к эксплуатации — к загрузке, обслуживанию и мониторингу.
И, естественно, в этой области чрезвычайно важна стандартизация. Здесь очень многое зависит от партнеров Microsoft — Intel, IBM, HP и многих других. WS Management (WS-MAN) представляет собой новый протокол для обмена информацией между управляемыми и управляющими системами. На сегодня WS-MAN является индустриальным стандартом, который полностью ратифицирован DMTF и воплощается в жизнь как корпорацией Microsoft, так и всеми ее партнерами, поддержавшими компанию в области разработки данного стандарта.
Протокола обмена информацией, естественно, недостаточно для того, чтобы описать, как работает система. Абсолютно необходимый элемент — язык, который можно использовать для описания конфигурации системы и зависимости между отдельными ее элементами. Таким языком является SML (Service Modeling Language) — язык моделирования служб.
Применительно к теме конференции Ореклин подчеркнул особую роль следующих аспектов DSI.
-
Создание виртуализированных инфраструктур, многоуровневых, охватывающих как операционные системы, так и приложения.
-
Проектирование программного обеспечения с учетом операций с постепенным накоплением знаний и встраиванием их в новые программные продукты. Здесь на помощь разработчикам приходят различные модели планирования инфраструктуры, WS Management, SML.
-
Интеллектуальное управление: встроенные процессы и знания на основе стандарта ITIL.
Затем докладчик более подробно остановился на продуктах семейства System Center.
Что представляют собой решения System Center с позиции простоты начального развертывания и управления следующим поколением программного обеспечения Microsoft?
Семейство продуктов System Center обеспечивает службы ИТ решениями по управлению инфраструктурой предприятия на всем протяжении жизненного цикла используемого программного обеспечения, начиная с планирования развертывания нового программного обеспечения и заканчивая мониторингом и сопровождением приложений.
В частности, для ускоренного развертывания новых продуктов Microsoft — Windows Vista, Office System 2007 и Exchange Server 2007 — компания предлагает новые решения на базе System Center, которые уже использует ряд клиентов.
Microsoft выпустила Systems Management Server 2003 Operating System Deployment (OSD) Feature Pack, который добавляет в SMS 2003 поддержку развертывания Windows Vista, как если бы это была работа с обычным приложением. В настоящее время SMS — единственный продукт, который автоматизирует развертывание Vista и Office 2007 на клиентских местах без какого бы то ни было вмешательства со стороны пользователя. Zero-Touch Solution Accelerator for Business Desktop Deployment (BDD) и SMS 2003 при совместном использовании обеспечивают необходимую функциональность при помощи сценариев, в том числе для выполнения таких задач, как миграция пользователей, миграция состояния (state migration), миграция приложений, инвентаризация, управление изменениями и распространение политик безопасности.
Но развертывание — только первый шаг. Гигантская доля ИТ-бюджета уходит на поддержку ИТ-инфраструктуры. System Center Operations Manager 2007 позволяет проводить интеллектуальный мониторинг инфраструктуры и получать отчеты, с помощью которых ИТ-администраторы в реальном времени смогут быстро идентифицировать и решать проблемы, негативно сказывающиеся на уровне обслуживания. Специально для своих новых продуктов Microsoft разработала Exchange Server Management Pack for Operations Manager 2007 и Windows Vista for 2007 Office Management Packs.
Продолжается инвестирование в разработку новых версий существующего программного обеспечения — это в первую очередь относится к Data Protection Manager V2 и Systems Center Configuration Manager 2007, следующей версии SMS 2003. Что касается System Center Configuration Manager 2007, то здесь была проведена колоссальная работа в части совершенствования технологии автоматизации развертывания операционных систем.
Лэрри Ореклин выделил три области инвестиций в семейство продуктов System Center.
Повышение продуктивности. Разработка семейства продуктов System Center пронизана идеей создания инструментария, простого в изучении и использовании, основанного на ролевом принципе и способного упростить работу администраторов ИТ.
Снижение общей стоимости владения (TCO). Особое внимание уделено созданию встроенных баз знаний и интеграции с платформой Windows. Это уменьшает необходимость вмешательства со стороны обслуживающего персонала и, как следствие, снижает TCO.
Гибкость. Решения и программный инструментарий System Center обладают удивительной гибкостью — к примеру, механизм взаимодействия с конечными пользователями предусматривает применение как Web-порталов, так и работу в специальном интерфейсе взаимодействия с администратором, и все это с сохранением индивидуальных настроек.
Мониторинг клиентов, добавленный в System Center Operations Manager 2007, был реализован для того, чтобы заказчики Microsoft получили более полный контроль над ИТ-инфраструктурой. Какие именно сферы управления оказались затронуты?
Лэрри Ореклин выделил три области, где это особенно заметно, которые соотносятся с тремя уровнями мониторинга клиентов в System Center Operations Manager 2007.
Agent-less exception monitoring (AEM). Перехватываются метрики клиента, связанные с «зависаниями» и аварийными завершениями. В дальнейшем они используются в качестве основы для составления отчетов о проблемах на рабочем месте клиента. Раньше единственным источником такого рода информации служили звонки клиентов в службу поддержки.
Использование Windows Vista и Office 2007 Management Packs для сбора коллективных метрик о «состоянии здоровья» контролируемых систем. Здесь мы уже выходим за рамки метрик о сбоях и простоях и говорим о данных, связанных с надежностью и производительностью систем. В состав Windows Vista включен целый перечень новых управляемых функций, но в System Center Management Packs for Windows Vista и 2007 Office System вы уже найдете представления, в которых отражены все новшества, и сможете в полной мере судить о состоянии настольной системы с точки зрения как операционной системы, так и приложений, и не только от Microsoft.
Третий, наиболее глубокий уровень мониторинга, связан с внедрением Operations Manager 2007 в сферу мониторинга критически важных бизнес-приложений. Чаще всего это проявляется в финансовой сфере деятельности, где требуется постоянный аудит работы систем — от переносных компьютеров до серверов, от ATM до кассовых аппаратов. Отслеживается буквально все, что касается работы этих устройств. Возможность в реальном времени выполнять мониторинг такого оборудования может способствовать быстрому внедрению новых клиентских систем, в частности той же Windows Vista.
Особо докладчик выделил в своем выступлении продукт Data Protection Manager 2006 V2 из семейства Microsoft System Center. Что даст DPM v2 специалистам по ИТ при переходе на новые технологии?
«Главное преимущество DPM v2 проявится в работе с почтовым сервером. Я имею в виду непрерывную защиту данных, — отметил Ореклин. — DPM v2 обеспечивает защиту данных в реальном времени для серверов Exchange, SQL Server, SharePoint Server, а также файловых серверов и критических приложений Microsoft с полной поддержкой записи данных на диск и ленту. Это минимальные простои, гарантированное восстановление и опять же снижение TCO».
С точки зрения восстановления данных DPM v2 расширяет аналогичные возможности DPM 2006 для Exchange, SQL Server, SharePoint и файловых серверов. Традиционно резервирование и восстановление требовало идентификации и работы с различными хранилищами пользовательских данных, приложений, определенных конфигурационных данных и, наконец, списка процедур для восстановления как самих данных, так и приложений. Администратор DPM v2 защищает и восстанавливает любые приложения или объекты приложений в терминах конкретного приложения — скажем, в понятиях почтового ящика для Exchange и каталогов общего доступа для файлового сервера Windows. Слишком часто при использовании существующих решений возникают ошибки из-за некорректной настройки при проведении восстановления. DPM v2 унифицирует процесс восстановления и резервирования и предоставляет в распоряжение ИТ-администратора решение, тесно интегрируемое с конкретным приложением.
Почему в теме конференции два семейства продуктов Microsoft — Forefront и System Center — заявлены вместе? «Сегодня невозможно сказать, что безопасность заканчивается вот здесь, а отсюда начинается управление. Границы размыты, приложения глубоко интегрированы не только с операционной системой, но и между собой», — подчеркнул Ореклин. У такой интеграции есть очевидные преимущества.
-
Общая инфраструктура и платформа управления: производительность, простота управления и интеграция различных средств.
-
Безопасность клиента и сервера, защита по периметру, безопасный доступ.
-
Управление настольными компьютерами и устройствами, комплексное управление службами, интегрированные средства управления на физическом и виртуальном уровне.
«Мы ведем работу с нашими заказчиками и партнерами, — отметил Ореклин, — которые на самых ранних этапах разработки продуктов System Center получили к ним доступ в рамках соответствующих программ. Появление бетa-версий расширило круг таких партнеров и заказчиков. Только один пример: свыше 11000 клиентов уже развернули и используют System Center Operations Manager 2007 Beta. Для Microsoft это неоценимая помощь, канал обратной связи всегда открыт».
Докладчик продемонстрировал несколько слайдов, доказывающих преимущество совместного внедрения Forefront и System Center на предприятии для достижения оптимальной ИТ-инфраструктуры.
Партнеры Microsoft — неотъемлемая составляющая успеха компании. В Microsoft разработан целый ряд партнерских программ, в частности предназначенных для продвижения Windows Vista и 2007 Office. Совместно с партнерами Microsoft участвует в планировании развертывания инфраструктуры заказчика для новых продуктов, тех же Windows Vista и 2007 Office. Нередко партнеры Microsoft специализируются на отдельных вопросах ИТ — есть, например, предприятия, занимающиеся вопросами безопасности. Но что очень важно для всех без исключения партнеров Microsoft — это обучение. Если заказчик собирается развернуть новую операционную систему или новые приложения, успех такого начинания будет тем полнее, чем быстрее и заказчики, и партнеры пройдут все необходимые тренинги — это обеспечит скорый возврат инвестиций.
Говоря о направлении, в котором движется Microsoft, развивая продукты семейств Forefront и System Center, Ореклин выделил следующие области:
-
идентификация пользователей и прав доступа;
-
управление обслуживанием;
-
управление конфигурацией и изменениями;
-
решение проблем рабочих мест;
-
отчетность.
В результате оптимизации инфраструктуры сокращается TCO. Так, по данным отчета IDC, опубликованного в октябре 2006 года, благодаря переходу с базового уровня на рационализированный, более чем на 80% сокращаются ежегодные трудозатраты ИТ-персонала в расчете на один настольный компьютер.
«Что можно сегодня посоветовать заказчикам в плане подготовки развертывания Windows Vista, 2007 Office System и Exchange Server 2007? Я бы выделил две вещи, — продолжает Ореклин. — Во-первых, необходимо провести тщательное планирование — своими силами или с привлечением партнеров, неважно, но планирование должно быть безупречным. Во-вторых, необходимо развернуть инфраструктуру управления до внедрения новых приложений».
Новые горизонты защиты и управления информационными системами
Основной доклад продолжил Юрий Осипов. Он начал с того, что в России уже известны примеры внедрения новых продуктов. В частности, компания Soft первой начала использовать Forefront Security, и сегодня этот процесс продолжается. Есть компании в нефтяной отрасли, в авиации и в транспортной сфере, которые внедряют продукты System Center и Forefront.
Что может предложить Microsoft типичной компании из продуктов, которые используются сейчас в Microsoft или рекомендуются к применению на основании опыта, накопленного не только в России, но и во всем мире? И что представляет собой «типичная компания», которой Microsoft готова предложить свои продукты?
Говоря о типичной компании, в первую очередь надо иметь в виду ее инфраструктуру — с точки зрения работы, управления и защиты. Инфраструктура для работы — это файловые серверы, серверы печати, почтовые серверы и портал. Часто можно услышать вопрос: «Почему же портал? У нас нет порталов». Но не нужно забывать, что портал — это не обязательно выделенный сервер. SharePoint Portal Services позволяет создавать порталы, которые фактически распределены между машинами сотрудников.
Кто-то возразит, что у него нет выделенной инфраструктуры управления и, как правило, выделенные серверы объединяют в себе несколько ролей или используются в основном для других целей, а не для мониторинга или конфигурирования настроек. Возможно. Но компании развиваются, и если сегодня задачи мониторинга и конфигурирования не стоят так остро, то через некоторое время задача, скажем, конфигурирования настроек, безусловно, обозначится. И еще одна характеристика типичной компании — инфраструктура защиты. Антивирусная система и межсетевой экран, как правило, есть у всех. Все чаще встречается демилитаризованная зона с разделением ресурсов DMZ и ресурсов корпоративной сети.
Для Microsoft очень важно, что сегодня инфраструктура управления и инфраструктура безопасности сливаются. Типичная ситуация: System Center Configuration Manager распространяет обновления для продуктов, но эти обновления в том числе связаны и с безопасностью — например, с продуктами Forefront Client Security.
В качестве примера Юрий Осипов предложил рассмотреть сценарии защиты Forefront Server Security для SharePoint. Было отмечено, что SharePoint в смысле сценария защиты ничем не отличается от более популярного продукта — Forefront для Exchange. Эти два продукта используют абсолютно идентичные технологии и в этом смысле равнозначны. Нет никаких отличий и в рабочем интерфейсе. Для показа был выбран именно SharePoint, потому что сценарий защиты порталов становится все более актуальным, как отметил Осипов.
С точки зрения защиты портала сегодня решаются следующие бизнес-задачи. Прежде всего, это защита от вредоносного кода — соответственно, речь идет о сканировании документов либо при их сохранении в библиотеку документов, либо при извлечении. Второй аспект этой проблемы, связанный с поддержанием единообразия и сохранением целостности данных (document compliance), хранящихся в библиотеках документов, также может быть реализован при помощи Forefront Server Security.
К примеру, можно организовать блокировку ненужных или нежелательных файлов, которые иначе начнут распространяться по организации. Если руководство не хочет, чтобы в портале хранилась музыка, это с легкостью настраивается в Forefront Server Security, что называется, одним щелчком мыши.
Многоядерная технология, которая сегодня применяется в Forefront Server Security, работает 24 часа в сутки 365 дней в году, бесперебойно и фактически обеспечивает стопроцентную защиту. «В настоящее время на рынке никто не может предложить более надежную защиту, нежели Forefront Server Security, — убежден Юрий Осипов. — Для Microsoft это и отличие от конкурентов, и лишний аргумент в пользу наших продуктов и платформ». Существует две версии Forefront Server Security, одна для SharePoint Portal Server, вторая — для SharePoint Services.
Что можно сделать для защиты периметра компании? Если говорить о продуктах Microsoft, то чаще всего упоминается ISA Server 2006. Начиная с 2004 года в этом продукте не было найдено ни одного (!) уязвимого места. Microsoft обязательно сертифицирует свои продукты в России.
Затем Юрий Осипов на несколько минут пригласил на сцену директора по безопасности кабинета президента Microsoft в России Владимира Мамыкина.
Мамыкин сообщил слушателям самую горячую новость, пришедшую буквально за несколько часов до начала конференции, — о сертификации ISA Server:
«Нами получен сертификат от Гостехкомиссии, которая сейчас называется ФСТЭК, Федеральная служба по техническому экспортному контролю, сертификат № 1386. Он утверждает, что ISA Server 2006, стандартная версия, удовлетворяет требованиям Гостехкомиссии на соответствие общим критериям, принятым в России. Это руководящие документы Гостехкомиссии, оценочный уровень доверия — первый усиленный. Одновременно мы проводили сертификацию на соответствие этого межсетевого экрана другим требованиям Гостехкомиссии, специально написанным для межсетевых экранов. Точное название — «Средства вычислительной техники, межсетевые экраны, защита от несанкционированного доступа к информации». И здесь мы получили не только четвертый класс защищенности, но даже третий, при выполнении некоторых условий. Например, необходимо в качестве аутентификации пользоваться токенами «Аладдин» и некоторыми другими настроечными функциями».
Далее Юрий Осипов назвал три задачи, которые Microsoft в данный момент решает при помощи защиты периметра:
-
обеспечение простого и безопасного доступа к корпоративным приложениям для удаленных пользователей;
-
проверка соответствия корпоративным политикам по безопасности (подключаемые пользователи должны отвечать определенным требованиям);
-
сокращение затрат на использование интегрированного решения.
В версии ISA Server 2006 специалистам Microsoft удалось обеспечить тесную интеграцию между ISA Server и продуктами независимых фирм.
Говоря о защите периметра, Юрий Осипов отметил два момента. Во-первых, защиту при помощи ISA Server и действия, предпринимаемые в связи с этим, и, во-вторых, использование Intelligent Application Gateway (IAG). Это новый продукт корпорации, который появится в России чуть позже.
Затем Осипов провел небольшую демонстрацию сценария защиты периметра при помощи OTP — One-Time Password. Было показано, как в ISA Server 2006 настроить использование OTP для сайта и аутентификацию клиента с помощью OTP в Outlook Web Access. Кроме того, был продемонстрирован доступ с удаленного клиента к опубликованному сайту и корпоративной электронной почте (OWA). Для более подробного ознакомления со сценарием защиты OTP все желающие были приглашены в зону «Спроси эксперта», где сотрудники из компании «Аладдин» подробно рассказывали об особенностях работы OTP.
Такая схема защиты не требует дополнительных усилий, т.е. используются средства, встроенные в сертифицированный Windows Server 2003, — сервер сертификатов, сервер Radius и некоторые другие технологии. «Дополнительно ничего покупать не нужно: требуется Windows Server 2003, ISA Server, средства для аутентификации — токены, и средства управления ими — Token Management System, TMS», — подчеркнул Юрий Осипов.
Для защиты периметра при помощи IAG компания Microsoft предлагает в зависимости от подключения получать разные наборы услуг (в отличие от традиционной защиты с привлечением сервера ISA, когда вам необходимо знать, куда обращается пользователь, а также знать ресурсы и службы, к которым происходит обращение). Вот перечень задач, которые требуется решить при работе с IAG:
-
создать портал удаленного безопасного доступа;
-
опубликовать сервис корпоративной электронной почты;
-
провести интегрированную настройку IIS и ISA Server;
-
выполнить проверку точки доступа при работе с порталом;
-
убедиться в наличии доступа из Internet-киоска клиента;
-
проверить соответствие политике удаленного доступа;
-
осуществить доступ с управляемого клиента к опубликованным на портале приложениям.
Вслед за этим Осипов перешел к обсуждению Forefront Client Security.
Это продукт, который все ждали очень давно. Каждый раз, когда на презентациях Microsoft говорили о том, что компания располагает серверным продуктом, Forefront Server Security, и что он защищает серверы Exchange, SharePoint, SMTP и т.д., в аудитории непременно звучал вопрос — а планирует ли Microsoft создать собственный антивирус для рабочих станций? На него следовал дежурный ответ: «Мы его готовим». И вот наконец сегодня со сцены прозвучало: «Коллеги, мы заявляем абсолютно четко: антивирус для защиты файловых серверов и рабочих станций Microsoft готов. Он называется Forefront Client Security».
Нужно понимать, что, в отличие от Forefront Server Security, где имеется многоядерная технология (фактически речь идет об использовании до девяти антивирусов, которые работают в единой связке, проверяют контент параллельно и при этом «не знают», сколько еще ядер работает), Forefront Client Security — решение одноядерное.
Если о сервере можно сказать, что на нем выполняются одни и те же операции, скажем, проверяются файлы, которые приходят по почте, работают одни и те же службы, и, соответственно, можно предсказать, какая будет нагрузка, то что произойдет на клиенте, предугадать нельзя: неизвестно, что клиент запустит через секунду. Одно из требований к антивирусу на рабочей станции — он должен быть абсолютно незаметен и прозрачен, вне зависимости от того, что именно запущено на клиенте, какая на нем нагрузка. Каждый раз, вмешиваясь в работу клиента, мы провоцируем, вероятнее всего, его отрицательную реакцию — от неудовольствия до крайне негативного отношения.
Для более подробного освещения возможностей Forefront Client Security на сцену был приглашен Алексей Кибкало, который сообщил, что новый продукт Microsoft Forefront Client Security защищает от большинства известных вирусов, программ-шпионов и другого нежелательного программного обеспечения. Администратор может настроить систему таким образом, чтобы вмешательство пользователя не требовалось.
Forefront Client Security поддерживает три режима сканирования.
-
Basic scan. Сканируются основные файлы в каталоге Windows, Program Files, профили пользователя, рабочий стол, и, чего не было ранее, продукт пытается проверить на зараженность spyware- и malware-ветви реестра, которые обычно затрагивают типовые вирусы.
-
Custom scan. Включает в себя базовый контент сканирования, а также набор каталогов, который пользователь сам укажет для сканирования.
-
Full scan. Сканируется все.
В панели управления появился новый инструмент Software Explorers из семейства Forefront Client Security. С его помощью можно посмотреть, например, что в системе разрешено для автоматического старта при запуске того или иного приложения. При этом разрешается или запрещается не конкретный файл, а сигнатура вируса или нежелательного программного обеспечения.
Традиционно поддерживается карантин. Например, компанию поразил макровирус, который испортил ряд документов, и на данный момент не существует решения, которое умеет «лечить» такие документы, однако обнаружение вируса возможно. Зараженный документ можно блокировать, поместив в карантин. Останется лишь дождаться обновления, тогда файлы из карантина будут возвращены в систему, а вирус удален.
Информацию о работе Forefront Client Security можно найти в собственном журнале Forefront Client Security и в Event Log: новый продукт описывает все, что видит, — spyware, malware, запуск и остановку своих сервисов, появление обновлений, и все это пишется в System Log. Этот журнал доступен исключительно администратору. На тот случай, если система на время выпала из сети и не может докладывать о заражении, всегда остается возможность непосредственно на месте разобраться, что же именно произошло.
Forefront Client Security предусматривает разные способы обновления дефиниций. Типичным является обновление через WSUS 2.0 или 3.0, через SMS, System Center Configuration Manager 2007, а также через другие уже развернутые решения. Обращение за дефинициями происходит раз в час.
В новом продукте реализованы собственные консоли управления, консолидированных отчетов и мониторинга, две административные консоли — консоль Forefront Client Security и MOM, внутри которых можно создавать различные репорты, политики и просматривать действия. Уникальная особенность Forefront Client Security — для разных групп компьютеров или пользователей можно создать разные настройки как для политик по применению, так и для политик по репортингу. Например, можно сконфигурировать Forefront таким образом, чтобы получать различного уровня сообщения о нарушениях политики безопасности.
При установке Forefront создает большой набор типовых отчетов по безопасности, вирусам, malware, spyware, а также по общей безопасности системы. Forefront, например, может «рассказать», на каких компьютерах компании запущены лишние службы вроде IIS, Telnet и т.д., какие компьютеры компании выпали из списка последнего сканирования, на каких компьютерах долгое время не обновлялись дефиниции.
Чем же принципиально отличается Forefront Client Security от аналогичных продуктов, уже имеющихся на рынке? Вряд ли клиенты заинтересуются еще одним антивирусом — если на предприятии уже есть антивирусная защита, переделывать то, что работает, не всегда полезно. Для Microsoft в новом продукте принципиальное значение имеют отчеты. «Мы не только работаем с антивирусной защитой, но и смотрим, какие есть уязвимые места, на каких машинах они выявлены, какое имеется локальное заражение и каким образом оно распространяется. Тем самым мы переходим от антивирусной защиты к защите всей системы, к организации информационной безопасности», — подчеркнул Юрий Осипов.
Очень важным представляется наличие реальной интеграции продуктов, о чем неоднократно упоминал Юрий Осипов. Вспомним, что ISA-сервер умеет кэшировать обновления в формате BITS. В настоящее время система управления и система безопасности неразделимы. Уровень интеграции продуктов растет с каждым годом. И в этом смысле продукт под названием System Center Configuration Manager, как и Operation Manager, очень значим для компании Microsoft.
Какие же задачи решаются при рассмотрении System Center Configuration Manager?
-
Контроль соответствия желаемой конфигурации рабочих станций и серверов.
-
Автоматическая синхронизация каталога обновлений SCCM2007 и WSUS 3.0.
-
Распространение обновлений.
-
Обновление программного обеспечения.
-
Обновление сигнатур Forefront Client Security
А что нас ждет в плане интеграции? Поскольку продукты тесно интегрированы между собой, очень легко увидеть проблемы, которые возникли в Operation Manager, и настроить систему таким образом, чтобы Configuration Manager автоматически проверил, что происходит, и сформировал соответствующий отчет. Например, Configuration Manager «знает» о требованиях политики безопасности компании, хранит их в виде настроек у себя в скриптах и очень быстро распространяет на станции. Таким образом обеспечивается целостная работа всей системы. В следующих версиях интеграция продуктов, связанных с безопасностью, будет только усиливаться. Это относится и к Forefront Client Security, и к Forefront Server Security.
Что еще может предложить Microsoft?
Следующее свое выступление Юрий Осипов начал с демонстрации Roadmap — «дорожной карты» развития продуктов Microsoft, отражающей связь программных продуктов компании друг с другом. Показанный слайд я впервые увидел на платформе Microsoft 2005 зимой 2004 года. С тех пор он не претерпел существенных изменений, лишь рабочие названия некоторых продуктов стали другими после выхода готовых версий.
Затем Осипов более подробно рассказал о малоизвестной в России разработке компании — Exchange Hosted Services.
Что это такое? Сегодня многие приходят к выводу, что электронная почта стала основным каналом общения. Иными словами, остановка электронной почты означает остановку бизнеса. Соответственно требуется обеспечить надежную защиту и управление электронной почтой.
Вторая проблема — угрозы становятся все более изощренными. Причем злоумышленники идут на это сознательно, они понимают, что люди пользовались и будут пользоваться почтой, и приспосабливаются к этой тенденции. Подтверждается предположение, сделанное три года тому назад Gartner, что 71% всех сообщений к концу 2006 года будет спамом, хотя порой все выглядит гораздо хуже.
И третья проблема — необходимо контролировать сложность инфраструктуры почтовых сообщений, т.е. нужны дополнительные ресурсы, что может вызвать большие сложности в управлении «почтовым хозяйством».
Предложение Exchange Hosted Services — это и есть ответ Microsoft на перечисленные требования. Именно они возникают у клиента чаще всего: обеспечение отказоустойчивости, обеспечение активной защиты и простоты управления.
Первое, на что стоит обратить внимание, — это понятие Software as a Service (SaaS). Это не программное обеспечение, которое ставится куда-то на сервер. Фактически люди, которые покупают услуги Exchange Hosted Services, платят Microsoft. А уже Microsoft предоставляет аутсорсинг определенной части инфраструктуры. Конкретно речь идет о девяти центрах обработки информации, которые распределены по всему миру. В этих центрах заложен соответствующий потребностям клиентов уровень масштабирования. Клиент платит, а Microsoft выполняет четыре основных вида работ, о которых будет рассказано ниже.
Второе, что нужно отметить, — Microsoft обеспечивает практически стопроцентную отказоустойчивость и необходимую масштабируемость.
Третье — простота управления, и тут нет никакого противоречия с первыми двумя проблемами. Есть интерфейс, который обеспечивает исчерпывающую функциональность управления. Например, с его помощью можно увидеть, какие сообщения заблокированы в Exchange Hosted Services, и при необходимости вернуть их обратно в систему.
Когда говорят об Exchange Hosted Services, имеют в виду четыре сервиса, связанные друг с другом и предоставляемые в рамках единого пакета. Это Exchange Hosted Filtering — фильтрация почты, Exchange Hosted Archive — архивирование почты согласно требованиям заказчика, Exchange Hosted Encryption — шифрование почты и, наконец, Exchange Hosted Continuity — обеспечение бесперебойной работы.
Естественно, наиболее востребованный на сегодня в России сервис — это Exchange Hosted Continuity, т.е. возможность использования многоядерных технологий Microsoft. Но это не совсем Forefront, точнее, не только Forefront. Да, Forefront тоже используется, но помимо Forefront, к примеру, применяется ядро Trend Micro. По понятным причинам Exchange Hosted Encryption — наименее востребованная услуга: в России есть определенные требования к шифрованию, которые не могут быть реализованы за пределами страны.
Что касается архивирования, то здесь заказчиков тоже можно встретить достаточно редко: с одной стороны, не так страшен простой, с другой — Microsoft обеспечивает масштабирование и, соответственно, проблема решается за счет наращивания мощности серверов. Сравните с ситуацией в США — там по закону бизнес должен хранить информацию определенное время. В России такого закона нет, поэтому никто не торопится вкладывать средства в гарантированное сохранение информации на стороне провайдера.
Не удивительно ли сочетание слов — Microsoft и провайдер? Времена меняются, и фактически с выпуском Exchange Hosted Services компания Microsoft в самом деле становится провайдером.
В результате заказчик получает высокодоступное, высокопроизводительное, высоконадежное решение для миллиардов почтовых ящиков. Как было показано на слайде, соглашение уровня предоставляемого сервиса в «пять девяток» — 99,999% — это простой не более 5 минут в год. Естественно, обеспечиваются требования международных стандартов, в частности ISO 17999. Весь объем информации прокачивается через центры обработки данных — один из них расположен в Австралии, три — в Европе и основная часть — в США. Для России ближайший центр находится в Германии.
Таким образом, Microsoft предлагает стабильно функционирующую инфраструктуру и при необходимости готова как нарастить количество самих центров, так и поднять мощность уже существующих центров на новый уровень. Обновление безопасности и мониторинг также обеспечивают специалисты Microsoft. В соглашении об уровне сервиса прописан гарантированный уровень обслуживания, что неукоснительно соблюдается компанией. При этом ничего лишнего заказчику не навязывается — Microsoft хорошо известно, что на местах в большинстве случаев уже имеется развернутое почтовое решение, в том числе на базе Microsoft Exchange.
Особое внимание Осипов уделил вопросу безопасности Windows Vista, теме, которая не сходит с повестки дня с момента появления новой клиентской Windows.
Второй аспект, связанный с безопасностью Vista, — повышение уровня защищенности служб. Было внесено очень много изменений, в частности значительно уменьшено количество служб, работающих с системными привилегиями. Можно сделать так, чтобы в зависимости от загруженного в данный момент профиля те или иные службы работали с пониженными (максимально безопасными) настройками или даже не работали вовсе.
Весьма распространенный вопрос — что Microsoft делает с ядром операционной системы? Здесь уместно напомнить, что около года назад в ИТ-сообществе развернулась целая дискуссия, когда корпорацию Microsoft обвиняли в том, что она не предоставляет доступ к соответствующей функциональности ядра. Хорошо это или плохо?
Осипов предложил рассмотреть понятную аналогию. Когда мы говорим о центральном процессоре и о производителе материнских плат, мы опираемся на некий стандарт, который описывает, каким образом должно протекать взаимодействие с материнской платой. После чего производитель материнской платы изготавливает плату согласно спецификации, в нее вставляется процессор — и все работает. Всякий раз, когда Microsoft пытаются упрекнуть в том, что разработчики операционной системы чего-то не сообщают о работе ядра, возникает вопрос — а зачем? Почему нужно вбивать гвоздь в центральный процессор и потом ломать голову — как обеспечить работоспособность всех остальных узлов с вбитым в процессор гвоздем?
В итоге было принято следующее решение: давайте дадим доступ, но подумаем, как минимизировать потенциальный ущерб совместными усилиями, чтобы работа тех же антивирусных программ не повлияла негативно на работу ядра.
Еще один важный момент — цифровые подписи драйверов, особенно для х64. Все помнят проблемы с версией Windows XP х64, когда многие драйверы не работали корректно. Осипов обратил внимание слушателей на две вещи. Во-первых, на использование NAP, который должен появиться в составе Longhorn (третья бета-версия Longhorn уже вышла и ее можно скачать и оценить совместную работу механизмов защиты), и, во-вторых, на механизмы восстановления, а именно — функциональность Complete PC и работу System Center DPM.
Иногда приходится слышать такой комментарий — «надо выключить Complete PC, и все будет работать быстрее». Только одно замечание по этому поводу: сервис Complete PC служит исключительно целям предохранения информации от каких бы то ни было проблем. Но, к сожалению, остается один процент проблем, тот самый, который происходит в самый неподходящий час, когда данная функция выключена, тогда на восстановление системы уходит гораздо больше времени, чем мы сэкономили, отключив Complete PC.
Защищенный режим Internet Explorer — это на самом деле виртуализация IE в рамках Vista. Когда вы запускаете Vista, обозреватель IE запускается в мини-виртуальной машине, и, если будет предпринята попытка взлома, никаких серьезных угроз быть не может. Если антивирус написан правильно, то он просто блокирует ту виртуальную машину, в которой работает IE, и в результате пространство для атаки уменьшается.
Некоторые иронизируют: «Отличное Microsoft придумала название для своей программы — Windows Defender (на русский его перевели как «защитник Windows». — Прим. ред.), это значит, что у Microsoft не самая надежная операционная система, раз ей нужен дополнительный защитник».
«Коллеги, — разводит руками Юрий Осипов, — это всего лишь маркетинговое название той технологии, которая используется. Нам часто задают вопрос, нужно ли продолжать применять Windows Defender, если у нас есть Forefront Client Security. Ответ такой: когда ставится Client Security, Windows Defender в принципе не нужен, и он выключается автоматически. Работает или Client Security, или Windows Defender».
Брандмауэр в Vista стал двусторонним. Хотя по большому счету никаких проблем с односторонним брандмауэром, реализованным в Windows XP, и раньше не было. Если ваша машина инфицирована, не имеет значения, односторонний у вас сетевой экран или двусторонний, потому что вредоносный код будет распространяться по тем портам, которые остаются открытыми и на двустороннем межсетевом экране. С точки зрения поддержки и работы конечного пользователя двусторонний межсетевой экран более актуален для ИТ-специалиста. Для простого пользователя настройка такого продукта гораздо сложнее.
Следующий аспект обеспечения безопасности Vista — поддержка EFS и BitLocker, шифрования файлов и шифрования диска. Важно понимать, что EFS и BitLocker — это две разные технологии. Они могут работать как совместно, так и независимо друг от друга. Но если BitLocker использует функциональность, встроенную в компьютер, например сканер отпечатка пальцев, DPM задействует шифрование еще до загрузки: включается компьютер, и до загрузки операционной системы вы должны ввести пароль или предъявить сертификат, на смарт-карте или на USB-токене. Если пароль или сертификат не соответствуют тому, что заложено в модуль DPM, то, в зависимости от настроек DPM, реакция системы может быть разной — от простой блокировки компьютера до полного его самоуничтожения после заданного числа неправильных попыток. Загрузиться и прочесть данные с компьютера не представляется возможным. Именно поэтому при включенном BitLocker можно не беспокоиться, что ноутбук украдут, так как расшифровать диск невозможно: шифрование происходит независимо от ОС, на более низком уровне.
EFS — это шифрование на уровне именно операционной системы, и Windows может использовать BitLocker как дополнительную функцию в плане шифрования. Самый высокий уровень защиты дает сочетание EFS и BitLocker.
Что касается проверки подлинности, то здесь Microsoft переработала всю архитектуру подсистемы ввода, и теперь можно использовать те же самые отпечатки пальцев и т.д. Вместе с тем биометрия не является достаточно надежным средством обеспечения идентификации пользователя. Существует статистика, согласно которой около 5% населения во всем мире не имеет нормально читаемых папиллярных линий на пальцах. Интересно, а как эти люди будут получать биометрические паспорта?
Новая подсистема ввода позволяет более естественным образом использовать смарт-карты, нежели это было в Windows XP, потому что раньше требовалось расширение стандартных механизмов для того, чтобы работа со смарт-картами была корректной.
Работать с учетными записями пользователя стало проще благодаря более естественному, наглядному интерфейсу. С помощью настроек защиты доступа компьютера при обращении по сети можно настроить «видимость» компьютера из внешнего мира и характер возможных манипуляций с ним.
Управление идентификацией. С одной стороны, можно использовать службы, которые уже развернуты в компании, например ADFS и AD. Есть возможность работать с MIIS — Windows Vista правильно понимает, какие данные присылает MIIS, и реагирует соответственно.
На показанном докладчиком слайде было использовано название продукта, которое несколько изменилось, — раньше он назывался Certificate Lifecycle Manager. Теперь это два продукта, слитые воедино: Identity Integration Server и Certificate Lifecycle Manager. В настоящее время готовится к выходу следующее поколение названных продуктов.
О службе сертификатов Осипов упомянул вскользь, отметив, что она есть и в Windows XP, но это скорее служба сертификатов, которая предназначена для локального использования. Куда более интересным будет разговор о службе сертификатов после выхода сервера Longhorn. Кроме того, реализован ролевой доступ к системе и усовершенствован аудит.
После этого Юрий Осипов переключился на службу RMS, отметив, что, к сожалению, RMS до сих пор не оценена пользователями по достоинству. Конечно, показанный вариант аналоговой атаки может вызвать улыбку — хорошо бы посмотреть, что там удалось отсканировать злоумышленнику, однако проблема от этого не становится менее острой.
Почему был создан RMS? Хотя данные показанного слайда были достаточно свежие, мое внимание привлек тот факт, что наибольшими ИТ-угрозами признаны халатность сотрудников и умышленные действия инсайдеров. Проблема в том, что и то и другое трудно распознать, особенно если учесть, что инсайдеры делают все для того, чтобы скрыть свою незаконную деятельность.
Что можно противопоставить халатности сотрудников и действиям инсайдеров? Управлять тем и другим невозможно, и потом — применение любых средств защиты опять же остается на усмотрение того человека, который заинтересован в защите информации. А должна быть обратная ситуация, когда пользователь, отправляющий данные во внешний мир, уверен — данные не попадут в чужие руки.
На чем основана работа RMS? Сервер сертификатов плюс клиентское ПО, которое может устанавливаться, а может и нет. Серверная часть предоставляется бесплатно. Единственное, за что вы платите, если используете RMS, — это за клиентские лицензии. Клиентская часть встроена в состав Microsoft Office.
Олег Лохин - Внештатный корреспондент журнала Windows IT Pro/RE