Os produtos Forefront oferecem um alto nível de proteção e controle através da integração com a infraestrutura de TI. Com esses produtos, a distribuição, o gerenciamento e a análise da segurança em uma rede é simplificada. Além disso os produtos Forefront oferecem segurança em várias camadas e foi desenvolvido para proteger as informações e controlar o acesso aos recursos críticos de uma empresa.
O Forefront é formado pelos seguintes produtos:
Forefront Client Security – Esse produto é responsável pela proteção contra virus, worms, rootkits, spywares e trojan horses em estações de trabalhos, laptops e servidores.
Forefront Server Security – Formado pelos seguintes produtos: Forefront Security for Exchange e Forefront Security for Sharepoint. O Forefront Server Security é responsável pela proteção contra virus, worms, spams e conteúdos indesejáveis em servidores Exchange Server 2007, Office Sharepoint Server 2007 e Sharepoint Services 3.0.
Forefront Edge Security – Formado pelos seguintes produtos: Microsoft Internet Security and Acceleration (ISA) Server 2006 e Microsoft Intelligent Application Gateway (IAG) 2007. O Forefront Edge Security oferece uma maior segurança para as redes de borda, protegendo o acesso a Internet, acesso remoto seguro e refornçando a segurança na comunicação entre escritórios.
Todos esses produtos são facilmente integrados entre si e com a infraestutura de TI de uma empresa, suportando também a integração com alguns produtos de terceiros, o que permite uma maior segurança contra as ameaças sobre aplicações e servidores.
O Forefront é o produto chave da estratégia da Microsoft que visa oferecer segurança end-to-end para os negócios de seus clientes. As informações são protegidas através de um gerenciamento digital robusto de direitos que protegem os documentos contra acesso não autorizado, reforçando assim a conformidade com a política de segurança da empresa.
Os relatórios do Forefront são baseados no SQL Server 2005. As soluções Forefront para clientes e servidores utilizam o SQL Server Reporting Services e o Analysis Services.
O gerenciamento da segurança e dos relatórios é feito centralizadamente. O Forefront é integrado facilmente com o Microsoft Operations Manager (MOM), Microsoft Systems Management Server (SMS), e Microsoft Windows Server Update Services (WSUS).
O Forefront auxilia as organizações a centralizar o gerenciamento da segurança, previnindo e identificando configurações incorretas, fazendo a avaliação do estado da segurança e aplicando a segurança persistentemente.
Segue abaixo os principais benefícios oferecidos pelo Forefront:
Abrangente – O Forefront forneçe uma linha de produtos abrangentes que protegem as informações e o controle de acesso aos sistemas operacionais, aplicações e servidores, fazendo com que as organizações estejam protegidas contra ameaças. O Forefront é customizado para proteger servidores de aplicação baseados nos sistemas operacionais da Microsoft através de uma estratégia de defesa que incorpora um controle de acesso robusto, inspeção de aplicações e protocolos e varias ferramentas anti-malware configuradas para proteger aplicações especificas. O Forefront utiliza tecnologias de firewall, VPN’s e criptografia para garantir que as informações serão acessadas somente por usuários que tenham acesso.
Integrado – O produtos do Forefront foram desenvolvidos de tal forma que sejam facimente integrados entre si e com a infraestrutura de TI existente, incluindo GPO’s, Active Directory, SMS e WSUS. Com essa integração a segurança pode ser gerenciada centralizadamente.
Simplificado – Os produtos do Forefront são simples de implementar e gerenciar. Com o Forefront, a visibilidade do estado de segurança de uma rede é obtida facilmente, o que pode ajudar na mitigação de ameaças. Com um número reduzido de consoles de administração, o tempo e complexidade também são diminuídos, e consequentemente, os custos são diminuidos.
Arquitetura do Forefront Client Security
O Forefront Client Security possui dois componentes: o Security Agent e o Central Management Server.
O Security Agent é instalado em estações de trabalhos, laptops e servidores, e os protegem de ameaças como spywares, virus e rootkits. O Security Agent é formado pelos seguintes componentes: Update Engine, Scan Agent, Scan Engine e Alert Agent. Todos esses componentes em conjunto mantém o Security Agent atualizado e varrem os computadores em busca de ameaças.
Para detectar possíveis vulnerabilidades, o Security Agent também possui o Security State Assessment Scans. Com isso, o Security Agent pode realizar scans agendados utilizando Security State Assessment Scans.
Baseado em critérios incluídos nas definições do Security State Assessment, o Forefront Client Security pode avaliar se os computadores clientes estão vulneráveis. Quando uma vulnerabilidade é encontrada, o Security Agent atribui uma pontuação e gera um evento. O Alert Agent envia o resultado da varredura para o Microsoft Operations Manager 2005 Alerting Engine, localizado no Central Management Server (Servidor Central de Gerenciamento). O Alerting Engine envia os resultados para uma base de dados do SQL Server 2005, que também está localizado no Servidor Central de Gerenciamento.
O Servidor Central de Gerenciamento auxilia os administradores a gerenciar e atualizar os agentes customizados ou pré-configurados de proteção contra malwares.
O Servidor Central de Gerenciamento gera relatórios utilizando o SQL Server 2005 Reporting Service e gera alertas sobre o status de segurança do ambiente baseado nos dados submetidos pelo Microsoft Operations Manager 2005 Alerting Engine.
Requisitos de hardware e software para o Forefront Client Security
Antes da implementação do Forefront Client Security em servidores, estações de trabalho e notebooks, é necessário verificar se o ambiente possui os requisitos mínimos de hardware e software.
Os requisitos podem variar de acordo com os fatores abaixo:
Número de computadores clientes na rede.
Requisitos de performance do ambiente.
Frequência e tipo de scan que será implementado.
Quantidade de dados que serão armazenados para os relatórios.
Requisitos de backup dos dados.
Orçamento de hardware e software.
Infraestrutura de rede, servidores e clientes existente.
Segue a tabela com os requisitos básicos para o Forefront Client Security:
Tabela1
|
Hardware
|
Processador/RAM
|
Sistema Operacional
|
Software
|
HD
|
|
Management Server
|
1 GHz ou superior
1 GB of RAM ou mais
|
Windows Server 2003 Standard Edition ou Enterprise Edition
x64 editions não são suportadas
|
Microsoft .NET Framework 2.0
Microsoft Group Policy Management Console (GPMC) with SP1
Microsoft Internet Information Services (IIS) 6.0, Microsoft ASP.NET, and Microsoft FrontPage Server Extensions
Microsoft Management Console (MMC) 3.0
|
512 MB ou mais
|
|
Collection server sem database
|
1 GHz ou superior
512 MB of RAM ou mais
|
Windows Server 2003 Standard Edition/Enterprise Edition. X64 não é suportado
|
N/A
|
1 GB ou mais
|
|
Collection server com database ou collection database server
|
Dual 2 GHz ou superior
2 GB of RAM ou mais
|
Windows Server 2003 Standard Edition ou Enterprise Edition
x64 editions não são suportadas
|
Microsoft SQL Server 2005 with SP1 Enterprise Edition, incluindo Database Services and Workstation Components
|
30 GB ou mais
|
|
Reporting server sem database
|
1 GHz ou superior
512 MB of RAM ou mais
|
Windows Server 2003 Standard Edition ou Enterprise Edition
x64 editions não são suportadas
|
IIS 6.0, ASP.NET, e FrontPage Server Extensions
|
512 MB ou mais
|
|
Reporting server com database ou reporting database server
|
1 GHz ou superior
512 MB of RAM ou mais
|
Windows Server 2003 Standard Edition ou Enterprise Edition
x64 editions não são suportadas
|
SQL Server 2005 with SP1 Enterprise Edition, incluindo Database Services, Reporting Services, e Workstation Components
|
75 GB ou mais
|
|
Distribution server
|
Verificar os requisitos para o serviço WSUS
|
Windows Server 2003 Standard Edition ou Enterprise Edition
x64 editions não são suportadas
|
.NET Framework 2.0
WSUS 2.0 with SP1
Verificar os requisitos para o serviço WSUS
|
75 GB ou mais
|
|
Combinado: Management, collection, e reporting server
|
Dual 2.85 GHz ou superior
4 GB of RAM ou mais
|
Windows Server 2003 Standard Edition ou Enterprise Edition
x64 editions não são suportadas
|
SQL Server 2005 with SP1 Enterprise Edition, incluindo Database Services, Reporting Services, e Workstation Components
.NET Framework 2.0
GPMC com SP1
WSUS 2.0
IIS 6.0, ASP.NET, e FrontPage Server Extensions
MMC 3.0
|
100 GB ou mais
|
|
Combinado: Collection database e reporting database server
|
Dual 2.85 GHz ou superior
4 GB of RAM ou mais
|
Windows Server 2003 Standard Edition ou Enterprise Edition
x64 editions não são suportadas
|
SQL Server 2005 with SP1 Enterprise Edition, incluindo Database Services, Reporting Services, e Workstation Components
|
100 GB ou mais
|
|
Combinado: Single-server production topology (todas as funções em apenas um servidor)
|
Dual 2.85 GHz ou superior
4 GB of RAM ou mais
|
Windows Server 2003 Standard Edition ou Enterprise Edition
x64 editions não são suportadas
|
SQL Server 2005 with SP1 Enterprise Edition, incluindo Database Services, Reporting Services, e Workstation Components
.NET Framework 2.0
GPMC with SP1
WSUS 2.0 with SP1
IIS 6.0, ASP.NET, e FrontPage Server Extensions
MMC 3.0
|
100 GB ou mais
|
|
Combinado: Single-server evaluation topology (todas as funções em apenas um servidor)
|
750 MHz ou superior
1 GB of RAM ou mais
|
Windows Server 2003 Standard Edition ou Enterprise Edition
x64 editions não são suportadas
|
SQL Server 2005 with SP1 Enterprise Edition, incluindo Database Services, Reporting Services, e Workstation Components
.NET Framework 2.0
GPMC with SP1
WSUS 2.0 with SP1
IIS 6.0, ASP.NET, e FrontPage Server Extensions
MMC 3.0
|
100 GB ou mais
|
|
Client computer
|
500 MHz ou superior
256 MB of RAM ou mais
|
Windows 2000 com SP4 e Update Rollup 1 and GDI+
Windows XP with SP2 com o filter manager rollup package
Windows Server 2003 com SP1 or superior
Microsoft Windows Vista Business
x64 editions não são suportadas
Tablet PC version of Windows não é suportado
|
Windows Update Agent 2.0
Windows Installer 3.1
|
350 MB ou mais
|
Considerações para a topologia de servidores apropriada
Após a verificação dos requisitos de software e hardware, é necessário escolher a topologia de servidores que será utilizada. Segue abaixo algumas considerações:
Escalabilidade – Devem ser realizados vários testes para verificar a capacidade de escalabilidade da rede. Inicialmente a infraestrutura do Forefront Client Security deve suportar os servidores e clientes existentes.
Infraestrutura existente – Deve ser verificado se a estrutura atual pode ser aproveitada na implementação do Forefront Client Security. Servidores SQL e MOM já existentes podem fazer parte da infraetrutura do Forefront Client Security. Caso uma performance melhor seja um requisito, é interessante utilizar um outro servidor SQL.
Arquitetura – A velocidade dos links entre sites pode afetar a quantidade e tipos de servidores que serão instalados em outros sites. Recomenda-se implementar servidores WSUS em cada localidade para evitar um grande tráfego na rede.
Redundância – Deve-se verificar se a infraestrutura do Forefront Client Security estará disponível mesmo se um dos servidores estiverem indisponíveis.
Implementando o Forefront Client Security
Existem vários tipos de topologias que podem ser utilizadas na implementação do Forefront Client Security. A topologia utilizada dependerá dos requisitos da empresa. Após o Forefront Client Security ser implementado, podemos implementar as políticas de segurança para configurar o antispyware, anti-virus e as opções do State Assesment para os computadores clientes. Além disso, o Forefront Client Security suporta a administração remota, incluindo configurações, atualizações de assinatura, relatórios e alertas.
Caso algum produto de segurança já exista na organização, é recomendado que o Forefront Client Security seja implementado, e após sua implementação o produto existente deve ser removido. Isso deve ser feito primeiramente em um ambiente de testes. Após a validação dos testes, o Forefront Client Security pode ser implementado no ambiente de produção. Recomenda-se também que inicialmente um grupo de usuários seja selecionado para que a estratégia de implementação seja definida e os treinamentos sejam iniciados. Após verificar a estabilidade do produto nesse grupo de usuários, pode-se iniciar a implementação em todo o ambiente de produção. O ideal é que essa implementação seja feita em horários não críticos. Após a implementação ser concluída, possíveis servidores de anti-virus existentes podem ser removidos da rede.
Implementando o Forefront Client Security em vários servidores
Após a topologia ser definida precisamos verificar como essa topologia será integrada com a infraestrutura de TI atual da empresa. Por exemplo, caso a empresa já possua um servidor SQL instalado, depedendo da utilização desse servidor, não será necessário a instalação de um novo servidor SQL para o Forefront Client Security. A mesma lógica pode ser aplicada para o MOM.
A topologia single-server possui uma escalabilidade limitada. Caso a empresa ainda não possua um servidor SQL e um servidor MOM é recomendado que a topologia multiserver seja utilizada.
O procedimento para a instalação do Forefront Client Security em uma topologia multiserver é basicamente o mesmo utilizado na instalação em uma topologia single-server. A principal diferença é que determinadas funções serão instaladas em um servidor, e determinadas funções serão instaladas em outro servidor. Portanto, em uma topologia multiserver, durante a instalação do Forefront Client Security definimos quais funções serão instaladas no servidor. As funções podem ser distribuídas em 3, 5 ou 6 servidores.
Topologia com 3 servidores
Nesse tipo de topologia, as funções management, collection e reporting são instaladas em um servidor. A reporting database é instalada no segundo servidor e a função distribution é instalada no terceiro servidor. Observe que a collection database é instalada no servidor que possui as funções management, collection e reporting.
Topologia com 5 servidores
Nesse tipo de topologia, as funções management, collection, reporting e distribution são instaladas em servidores diferentes. Observe que a collection database e a reporting database são instalados no mesmo servidor, o qual é chamado de database server.
Topologia com 6 servidores
Nesse tipo de topologia, as funções management, collection, reporting, distribution, collection databases e reporting databases são instaladas separadamente, sendo uma função por servidor.
Métodos de distribuição do Forefront Client Security nos clientes
Antes de instalar o Forefront Client Security no computadores clientes é necessário verificar se os computadores possuem todos os pré-requisitos instalados. O pré-requisitos podem variar dependendo do sistema operacional. É necessário também configurar os clientes para obterem as atualizações (Automatic Updates) do distribution server e remover outros softwares de anti-virus e anti-spyware que estejam instalados nos clientes.
Os métodos para distribuição do Forefront Client Security para os clientes são:
Diretamente em cada computador cliente – Nesse tipo de instalação o Forefront Client Security é instalado individualmente em cada servidor. Não é a melhor opção para ambientes grandes pois consome muito tempo dos especialistas.
Remotamente, utilizando scripts – Nesse tipo de instalação é necessário a criação de um script.
Remotamente, utilizando scripts em GPO – Nesse tipo de instalação é necessário a criação de um script e associar esse script em uma GPO. Como o Forefront Client Security agent é um arquivo executável, não pode ser distribuido diretamente via GPO.
Agente SMS – Nesse tipo de instalação um pacote de instalação é criado no SMS e o SMS agent é utilizado para distribuir esse pacotes para os clientes.
Verificando a instalação do Forefront Client Security
Após a instalação e configuração do Forefront Client Security, distribuição das Client Security policies, e distribuição do Forefront Client Security agent, podemos visualizar os relatórios para verificar se o Forefront Client Security está funcionando corretamente.
O console do Forefront Client Security possui links para vários relatórios relacionados ao estado e segurança da rede. Através desses relatórios pode-se verificar se o Forefront Client Security está distribuindo as Security policies corretamente, realizando scans e distribuindo as definições. Pode-se verificar também se os alertas e eventos estão sendo coletados. Tenha certeza de que os clientes possuem as Security policies corretas e estão reportando corretamente para o collection server.
Os seguintes relatórios possuem informações sobre a implementação do Forefront Client Security:
Security Summary – Esse relatório exibe o status da distribuição das policies, o status da conectividade e os resultados dos scans de malware e security state assessment.
Deployment Summary – Esse relatório exibe quais grupos de computadores possuem as últimas atualizações de policies e definições dos scans de malware e security state assessment.
Introdução as Client Security Policies
Uma Client Security policy é uma coleção de configurações que podem ser aplicadas em um grupo de computadores. Para aplicar uma política nos computadores clientes, os seguintes passos são necessários:
Criação da política.
Definição de qual computador cliente receberá a política.
Determinação do método de distribuição.
Distribuição da política.
A utilização de Group Policy é altamente recomendada pois faciltada a distribuição das políticas. Através da Group Policy é possível implementar configurações em grupos de usuários e computadores facilmente. Podem ser implementadas políticas baseadas no Registro e políticas de segurança. As políticas baseadas no Registro utilizam Administrative Templates para modificar as configurações do Registro.
Através do console do Forefront Client Security podemos gerenciar as políticas. Na aba Policy Managemet é possível criar, editar, copiar e deletar políticas.
Caso a empresa não utilize Group Policy, pode-se utilizar o Forefront Client Security para distribuir as políticas no formato de arquivos de registro. Este método exige que os arquivos de registros criados estejam disponíveis para os clientes. É necessário também executar um pequeno aplicativo em todos os computadores clientes que receberão as políticas. Esse aplicativo garante que as políticas serão aplicadas corretamente nos clientes.
Métodos de distribuição das Client Security Policies
Cada computador cliente pode ter apenas uma política aplicada. Através das GPO’s podemos aplicar as políticas em Unidades Organizacionais (OU’s) e em grupos de segurança (SG’s). Como já explicado anteriormente, caso a empresa não utilize GPO’s, podemos distribuir as políticas através de arquivos de registro. Seguem abaixo os detalhes de cada métodos de distribuição da políticas:
GPO e OU – Caso as políticas sejam distribuídas via GPO e aplicadas em uma OU, os computadores clientes devem ser reiniciados ou o seguinte comando dever ser executado para que a política seja aplicada efetivamente: gpupdate /force. Caso contrário, a política será aplicada no próxima atualização da GPO.
GPO e SG – Caso as políticas sejam distribuídas via GPO e aplicadas em um grupo de segurança, o computador deve ser reiniciado para que a política seja aplicada imediatamente. O comando gpupdate /force não funciona nesse tipo de distribuição de política. Outra opção é aguardar a próxima atualização da GPO para que a política seja aplicada.
Arquivo de Registro – Outra opção para o distribuição das políticas é a utilização dos arquivos de registro. Este método exporta a política para um arquivo .reg, o qual deverá ser distribuido para o computadores clientes. A distribuição desse arquivo não é feita automaticamente pelo Forefront Client Security. O ideal é que esse arquivo seja armazenado em um compartilhamento no qual todos os computadores clientes tenham acesso. Para aplicar o arquivo de registro nos computadores clientes é necessário utilizar a ferramenta fcslocalpolicytool.exe. Essa ferramenta esta localizada no CD de instalação do Forefront Client Security. Essa ferramenta também deve estar armazenada em um compartilhamento no qual todos os computadores clientes tenham acesso.
Através do relatório Deployment Summary podemos verificar quais computadores possuem a política aplicada através de arquivos de registro.
Quando você deletar ou interromper a aplicação de uma política que foi distribuída via arquivo de registro, o console exibirá as alterações, porém o Client Security não removerá o arquivo de registro. A política deve estar acessível para os computadores clientes nos quais a ferramenta fcslocalpolicytool.exe não foi executada para que o arquivo de registro da política seja desatribuída. Após ter certeza de que nenhum cliente está utilizando a política baseada no arquivo de registro em questão, o arquivo pode ser removido.
Tire suas dúvidas no site abaixo. Muitos profissionais qualificados tentarão lhe ajudar da melhor forma possível:
É isso pessoal, espero que este artigo seja útil para todos. Em caso de dúvidas sobre o conteúdo deste artigo, ou para enviar sugestões sobre novos tutoriais que você gostaria de ver publicados neste site, entre com contato através de e-mail: fabianodesantana@terra.com.br.
Em breve novos artigos sobre o Forefront serão publicados no Media Center do Technet.
_______________________________________________________________________________________
Fabiano de Santana, trabalha com TI a mais de 7 anos. Bacharelado em Análise de Sistemas e cursando Pós Graduação em Segurança da Informação. Trabalha atualmente na IBM Brasil, membro do time de Intel Security. Realizou vários projetos, entre eles implementação do WSUS, migração de correio eletrônico, implementação do ISA Server 2004, implementação de políticas de segurança, implementação de Lotus Notes, entre outros. Possui as certificações MCP, MCDST, MCSA / MCSE 2000 Security, MCSA/MCSE 2003 Security, Itil Foundation e IBM Certified System Administrator – Lotus Notes and Domino 7.
Autor de ebooks e artigos em parceria com o Julio Battisti há mais de 2 anos, moderador do Fórum de Windows / Certificações do site www.juliobattisti.com.br e autor de artigos para o Technet. Atua também como professor e autor de cursos para o site iPED.