Специалисты корпорации Microsoft по-настоящему взялись за проектирование средств борьбы с вредоносным программным обеспечением лишь после приобретения компании Giant Software и ее продукта Giant AntiSpyware, а также после выпуска Windows Defender — разработанного Microsoft решения для обнаружения и удаления шпионских программ. Сейчас Windows Defender интегрирован в Windows Vista, и его могут бесплатно загружать пользователи Windows XP. Но Windows Defender не имеет функций централизованного администрирования и тревожного оповещения; иначе говоря, в большинстве организаций этот продукт не может рассматриваться в качестве средства, полностью решающего проблему борьбы с вредоносными программами. Microsoft заполнила эту брешь, выпустив Forefront Client Security, клиент-серверное приложение, предназначенное для решения в масштабах коммерческих организаций таких задач, как выявление и блокирование вирусов, червей, шпионского программного обеспечения, rootkit и других типов вредоносного кода на уровне хостов для серверов и рабочих станций.
Централизованное управление на уровне предприятия
Forefront Client Security — новый продукт, но о реализованных в нем технологиях этого не скажешь. Данное приложение — из того же рода средств, что и Windows Malicious Software Removal Tool, Windows Server Update Services (WSUS), Microsoft Operations Manager (MOM), Group Policy Objects (GPOs) и Microsoft SQL Server 2005, а также продукты группы разработчиков Microsoft Product Support Services Security Response, которая подготовила определения вредоносных программ, применяемые в Windows Defender и Windows Live OneCare.
Forefront Client Security включает в себя множество реализованных в Windows Defender агентов безопасности реального времени. Эти агенты осуществляют наблюдение за подозрительными действиями, в частности обращают внимание на то, настроены ли новые программы для автоматического запуска, а также следят за изменениями, вносимыми в настройки браузера Microsoft Internet Explorer.
Кроме того, систему Forefront Client Security можно настроить таким образом, чтобы она участвовала в программе Microsoft SpyNet, обеспечивающей быстрое распространение сведений о новых угрозах среди сообщества участников.
Эффективность любой антивирусной программы или приложения для борьбы со шпионским программным обеспечением зависит от того, насколько добротны и эффективны файлы описания, а также от того, насколько полно они отражают состояние на данный момент. Агенты Forefront Client Security используют механизм обновления службы WSUS, который ежечасно проверяет базу данных на наличие новых описаний. Многие из технологий, реализованных в Forefront Client Security, применяются в продукте Windows Live OneCare, который получил сертификат лаборатории ICSA Labs и предлагается для использования в качестве средства борьбы с вирусами и персонального брандмауэра. Microsoft намеревается добиться получения такого же сертификата и для Forefront Client Security.
Большинство технологий, реализованных в Forefront Client Security, — это проверенные временем решения масштаба предприятия, и если в вашей организации уже есть специалисты по серверным продуктам Microsoft, сотрудникам ИТ-подразделения Forefront Client Security не покажется чем-то незнакомым. Но тем, кому не приходилось иметь дело с этими технологиями уровня предприятия, возможно, осуществлять развертывание, настройку и администрирование как серверов, так и клиентов будет чрезвычайно трудно.
Архитектура и установка
Forefront Client Security строится в соответствии с той же моделью клиент-серверных приложений, что и большинство других продуктов, предназначенных для борьбы с вирусами и шпионским программным обеспечением. Агент Forefront Client Security должен быть установлен на каждом управляемом клиенте. Отметим, что этот агент — отнюдь не то же самое, что агент Windows Defender, встроенный в Vista; кстати говоря, перед тем как устанавливать клиент Forefront Client Security, необходимо отключить предназначенный для борьбы со шпионским кодом агент Vista Windows Defender. Агент Forefront Client Security вступает во взаимодействие с серверными компонентами продукта, которые выполняют четыре роли: сервера управления, сервера сбора данных, сервера отчетов и сервера распределения. В зависимости от имеющихся в распоряжении аппаратных средств и размера компании вы, возможно, сумеете разместить все четыре роли на одной системе. Если нет — можете масштабировать систему и разместить эти роли на нескольких компьютерах. Серверные компоненты выполняются в среде Windows Server 2003 Release 2 (R2) или Windows 2003 Service Pack 1 (SP1), при этом на системах должны быть установлены все модули коррекции для системы безопасности.
Процедура установки Forefront Client Security может показаться трудоемкой и сложной, особенно по сравнению с другими антивирусными и антишпионскими программами.
Для установки Forefront Client Security необходимо, чтобы служба WSUS развернула описания антивирусных и антишпионских программ, а также новые модули коррекции для системы безопасности. Кроме того, следует иметь в виду, что операции по выявлению и удалению наиболее широко распространенных и опасных вирусов и червей Forefront Client Security выполняет с помощью инструмента Windows Malicious Software Removal Tool, а для направления оповещений клиентам и управления событиями применяется диспетчер MOM. Если на предприятии MOM уже используется, при развертывании средства Forefront Client Security будет установлен параллельный сервер MOM, предназначенный исключительно для обслуживания Forefront Client Security. Все данные Forefront Client Security хранятся в базе данных SQL Server 2005, а для генерации отчетов используется служба SQL Server 2005 Reporting Services (SSRS). MOM и Windows Malicious Software Removal Tool входят в комплект поставки Forefront Client Security, но все остальные компоненты необходимо загружать и устанавливать индивидуально. Отмечу, что в ходе тестирования я использовал общедоступную бета-версию Forefront Client Security, которая, возможно, отличается от RTM-версии.
Необходимые программные средства
Перед тем как загружать серверные компоненты, следует проверить, установлены ли следующие программные средства, без которых эта процедура не может быть выполнена:
-
Microsoft IIS, ASP .NET и Microsoft FrontPage Server Extensions;
-
SQL Server 2005 Enterprise Edition SP1;
-
Group Policy Management Console SP1;
-
Microsoft .NET Framework 2.0;
-
Microsoft Management Console 3.0;
-
WSUS SP1.
Пошаговые инструкции по установке перечисленных продуктов и выяснению причин неполадок в их работе можно найти в документе, опубликованном по адресу http://www.microsoft.com/technet/clientsecurity/default.mspx. В рамках создания условий, необходимых для установки Forefront Client Security, нужно будет также установить в тестовой сети продукт Windows Update GPO, который будет направлять клиентов на WSUS-сервер Forefront Client Security.
Установка серверного программного обеспечения
После установки требуемых программных средств нужно загрузить на Web-сайте Microsoft Forefront Client Security и запустить установщик. Мастер неплохо справляется с задачей пошагового инструктирования пользователя в процессе установки и настройки изделия, но я бы советовал внимательнее читать текст в диалоговых окнах, а также инструкции. В первую очередь это касается тех, кто устанавливает компоненты продукта сразу на нескольких серверах. Мастер предложит пользователю ввести информацию, необходимую для базовой установки MOM, такую как имя сервера, имя группы MOM, а также сведения о базе данных и учетной записи. Выпишите всю эту информацию на отдельный листок — позднее система вновь запросит ее. Если вы устанавливаете продукт только на одном сервере, мастер поможет шаг за шагом выполнить процедуры настройки технологий Microsoft, реализованных в Forefront Client Security.
Вы увидите, что появились две новые программы: Forefront Client Security, которая, собственно, и является клиентом, установленным на сервере Forefront Client Security, и Forefront Client Security Console, которая представляет собой главный интерфейс для управления приложением. При первом запуске компонента Console активизируется мастер, который помогает пользователю довести до конца процедуру конфигурации.
Создание политики
После установки серверных компонентов следует создать политику, которая должна определять, каким образом защищать клиентов, а также планировать проверки и обновления описаний. Эту политику лучше всего создавать еще до развертывания агентской части, так, чтобы агенты с самого начала пользовались созданной заранее политикой, а не предлагаемой по умолчанию, ибо в последнем случае проверка, возможно, будут осуществляться не с той частотой и степенью охвата, которая требуется конкретной организации.
Существует возможность создания отдельных политик для серверов и рабочих станций, каждая со своим расписанием проверок и своими настройками. В окне консоли управления нужно перейти на вкладку Policy Management и выбрать пункт New. Введите имя для этой политики и перейдите на вкладку Protection, изображенную на экране 2. Здесь определяется, каким образом приложение Forefront Client Security должно защищать клиентские компьютеры. На меня произвело большое впечатление то, как специалисты Microsoft реализовали средства планирования. К примеру, администратор может назначить выполнение полной проверки на наличие вредоносного программного обеспечения с частотой раз в неделю, а быстрые проверки, включающие сканирование системного реестра и каталогов, где часто устанавливаются предназначенные для нарушения нормальной работы компьютера программы, при этом будут проводиться раз в несколько часов. Кроме того, можно планировать проверки для оценки состояния системы безопасности компьютеров, которые отличаются от проверок на наличие вредоносных программ объектами поиска; в ходе первых выявляются отсутствующие модули обновления и часто встречающиеся ошибки в настройках системы безопасности.
После того как политика сформирована, ее следует развернуть. Forefront Client Security дает возможность назначать политики организационным единицам (organizational units, OUs) и группам безопасности, а также настраивать политику для реализации через файл реестра (файл .reg), который выполняется непосредственно на клиенте.
Установка клиентского программного обеспечения
Программные продукты для агентов Forefront Client Security можно устанавливать на системах Windows 2003 R2, Windows 2003 SP1, Windows XP SP2 или Windows 2000 SP4, на которых предварительно установлены все модули обновления для систем безопасности. Все прочие программы для борьбы с вирусами и шпионским программным обеспечением должны быть удалены. Кроме того, перед установкой клиента на системах Windows XP и Windows 2000 необходимо запустить Windows Update Agent 2.0 и Windows Installer 3.1. Возможно, это требование несколько осложнит процедуру развертывания.
Для установки клиентского компонента скопируйте на клиентский компьютер содержимое каталога Client с компакт-диска Forefront Client Security. Утилита установки разворачивает программу установки клиента MOM и агента Forefront Client Security. Запустите файл ClientSetup.exe с использованием параметра /MS для указания имени сервера управления MOM и с применением параметра /CG для указания имени группы конфигурации MOM. К примеру, если нужно установить серверные компоненты Forefront Client Security на одном компьютере с именем mfcs.security.local, следует выполнить команду ClientSetup:
ClientSetup.exe
/MS mfcs.security.local
/CG ForefrontClientSecurity
Далее необходимо санкционировать установку клиента на консоли MOM. Можно поступить по-другому — не предпринимать никаких действий, и через час все выполненные операции установки продуктов будут санкционированы автоматически. На сервере, где установлена консоль MOM, требуется открыть меню Start, выбрать пункт All Programs и запустить MOM 2005 Administrator Console. На левой панели консоли нужно последовательно выбирать пункты Administration, Computers, Pending Actions. На правой панели правой клавишей мыши щелкните на имени клиентского компьютера и санкционируйте осуществленную в ручном режиме установку. Для развертывания клиентов можно создать собственный сценарий регистрации в системе или использовать Microsoft Systems Management Server (SMS) либо какую-то из программ управления от независимого поставщика, например разработанный компанией LANDesk Software комплект LANDesk Management Suite; но тогда придется создать собственный пакет развертывания.
Важно настроить клиентов таким образом, чтобы они сами загружали модули обновления с описаниями вредоносного программного обеспечения с WSUS-сервера Forefront Client Security. Наряду с проведением осуществляемых по запросу или запланированных проверок на наличие вредоносных программных средств агент клиента Forefront Client Security оценивает настройки безопасности хост-машины. В числе прочего клиентский агент может проследить за тем, чтобы была активизирована функция Automatic Updates и ограничены возможности установления анонимных соединений; выяснить, активизирована ли функция autologon; подсчитать число групп администраторов; установить дату истечения срока действия пароля; проследить за тем, чтобы использовалась система NTFS; подтвердить, что учетная запись guest отключена; выявить, установлены ли «необязательные» службы, такие как WWW, FTP, SMTP или Telnet, и подтвердить применение модулей обновления для системы безопасности. Клиент передает тревожные сообщения на сервер Forefront Client Security, где администратор может просматривать состояние всех систем с одной консоли.
Навигация на клиенте
После установки агента нужно зарегистрироваться на клиенткой системе, перейти в окно All Programs и выбрать пункт Microsoft Forefront, после чего запустить Forefront Client Security. С помощью кнопок в верхней части клиентского интерфейса следует инициировать быструю проверку или полную проверку либо специальную проверку, перед которой можно выбрать для сканирования некоторые накопители или папки. Нажав кнопку History, можно просмотреть, какие действия были предприняты ранее, скажем, каким подозрительным объектам вы дали «добро» на выполнение, а какие поместили в карантин. С помощью меню Tools можно просматривать список объектов, помещенных в карантин, и устанавливать настройки программы, например указывать, в какое время следует осуществлять проверку компьютера в автоматическом режиме и как рассылать тревожные оповещения.
Сигналы тревоги
Для отображения тревожных сообщений разработчики Microsoft предусмотрели специальную область системных оповещений. В соответствии со степенью опасности последние подразделяются на представляющие серьезную угрозу, среднюю угрозу и незначительную угрозу (high, medium и low). Например, если устарели описания, в области оповещений появляется значок оранжевого цвета, символизирующий угрозу среднего уровня.
Тем, кому доводилось пользоваться другими антивирусными утилитами и программами для борьбы со шпионским программным обеспечением, Forefront Client Security наверняка покажется простым в применении. При обнаружении подозрительных действий Forefront Client Security извещает об этом локальный клиент и направляет оповещение на центральную консоль. Клиент предоставляет сведения, весьма полезные при выявлении причин неполадок, в частности он отображает прямую ссылку на справочник Malicious Software Encyclopedia, где пользователь может почерпнуть дополнительную информацию о выявленных действиях и без труда отсортировать возникшие угрозы.
Вооружившись этими данными, можно сформировать политику, предусматривающую автоматический ответ на угрозу, или указать, какое действие следует предпринять — например, удалить соответствующий файл либо поместить его в карантин. Кроме того, у администратора будет возможность отследить тревожное оповещение средствами диспетчера MOM, который предоставляет операционное представление инцидента, включая текущее состояние, время нахождения в этом состоянии и сведения об угрозе, получаемые клиентом в режиме реального времени. Вся эта информация помогает сотрудникам ИТ-подразделения определиться с ответом на угрозу.
Отчеты
Отчеты Forefront Client Security обрабатываются средствами службы SSRS и доступны из консоли управления.
Forefront Client Security динамически генерирует отчеты и обеспечивает широкие возможности для обращения к объектам, входящим в иерархическую структуру. Однако надо отметить, что при использовании этих функций снижается производительность SQL Server, поэтому в процессе генерации отчетов следует применять средства достаточной мощности. Здесь не обойдешься отработавшей свое аппаратурой; в зависимости от характеристик сети предприятия я рекомендую как минимум двухъядерный процессор с тактовой частотой более 2 ГГц, 4 Гбайт оперативной памяти и не менее 100 Гбайт свободного пространства на жестком диске.
Гибрид с хорошей перспективой
Forefront Client Security — плод четырехлетней работы над слабо связанными друг с другом средствами защиты Microsoft, и я рад, что корпорация выпустила этот продукт, хотя его и нельзя назвать воплощением совершенства. Я бы охарактеризовал текущую версию изделия как централизованно управляемый и ориентированный на использование в корпоративной среде гибрид между Microsoft Baseline Security Scanner и Windows Defender, у которого в качестве внутреннего интерфейса применяются некоторые из наиболее современных программных средств Microsoft. К сожалению, в силу этой гибридной природы установка изделия сопряжена с определенными трудностями, а сложность изделия может отпугнуть пользователей, особенно если возникнут проблемы.
Администраторам, желающим получить максимальную отдачу от приложения Forefront Client Security, следует рассматривать его как нечто большее, нежели обычное антивирусное средство. Возможности этого продукта несоизмеримо шире, и при использовании в среде, базирующейся только на технологиях Microsoft, он просто не будет знать себе равных. Только представьте, что для определения политик в отношении вредоносных программ вы будете использовать объекты GPO. Представьте себе разделяемую инфраструктуру, в которой развертываются как модули обновления для системы безопасности, так и описания вредоносных программ. Вообразите, как вы будете просматривать оповещения в связи с вирусными атаками на консоли сетевого операционного центра, где отображаются также иные жизненно важные сведения, касающиеся инфраструктуры, — от перебоев в работе контроллеров доменов до проблем, связанных с функционированием Microsoft Exchange. Приложение Forefront Client Security способно на многое, но поскольку в его работе широко используется множество различных — и часто сложных — технологий уровня предприятия, не исключено, что изделие будет без энтузиазма воспринято как предприятиями малого и среднего бизнеса, так и относительно крупными компаниями, которые предпочитают более простые подходы.
Джеф Феллинг - внештатный редактор Windows IT Pro и специалист по информационной безопасности. Вице-президент компании aQuantive. jeff@blackstatic.com
Дополнительная информация
РЕСУРСЫ MICROSOFT:
Microsoft Forefront Client Security http://www.microsoft.com/forefront/clientsecurity/default.mspx
Microsoft Forefront Client Security Technical Library http://www.microsoft.com/technet/clientsecurity/2007/library/default.mspx