:: PÁGINA DO FABIANO :: MANUAIS E SIMULADOS :: ARTIGOS E TUTORIAIS

 

Você está aqui: Principal » Fabiano » Artigos

 

Introdução ao Forefront Client Security

 

Autor: Fabiano de Santana

Certificações: MVP – MCSA 2000/2003 Security – MCSE 2000/2003 Security – ITIL Foundation
Data de criação: 06/12/2008

 

Introdução

 

Os produtos Forefront oferecem um alto nível de proteção e controle através da integração com a infra-estrutura de TI.  Com esses produtos, a distribuição, o gerenciamento e a análise da segurança em uma rede é simplificada. Além disso os produtos Forefront oferecem segurança em várias camadas e foi desenvolvido para proteger as informações e controlar o acesso aos recursos críticos de uma empresa.

 

O Forefront é formado pelos seguintes produtos:

Todos esses produtos são facilmente integrados entre si e com a infra-estrutura de TI de uma empresa, suportando também a integração com alguns produtos de terceiros, o que permite uma maior segurança contra as ameaças sobre aplicações e servidores.

 

O Forefront é o produto chave da estratégia da Microsoft que visa oferecer segurança end-to-end para os negócios de seus clientes. As informações são protegidas através de um gerenciamento digital robusto de direitos que protegem os documentos contra acesso não autorizado, reforçando assim a conformidade com a política de segurança da empresa.

 

Os relatórios do Forefront são baseados no SQL Server 2005. As soluções Forefront para clientes e servidores utilizam o SQL Server Reporting Services e o Analysis Services.

 

O gerenciamento da segurança e dos relatórios é feito centralizadamente. O Forefront é integrado facilmente com o Microsoft Operations Manager (MOM), Microsoft Systems Management Server (SMS), e Microsoft Windows Server Update Services (WSUS).

 

O Forefront auxilia as organizações a centralizar o gerenciamento da segurança, prevenindo e identificando configurações incorretas, fazendo a avaliação do estado da segurança e aplicando a segurança persistentemente.

 

Segue abaixo os principais benefícios oferecidos pelo Forefront:

Arquitetura do Forefront Client Security

 

O Forefront Client Security possui dois componentes: o Security Agent e o Central Management Server.

 

Componentes do Forefront Client Security

 

O Security Agent é instalado em estações de trabalhos, laptops e servidores, e os protegem de ameaças como spywares, vírus e rootkits. O Security Agent é formado pelos seguintes componentes: Update Engine, Scan Agent, Scan Engine e Alert Agent. Todos esses componentes em conjunto mantém o Security Agent atualizado e varrem os computadores em busca de ameaças.

 

Componentes do Security Agent

 

Para detectar possíveis vulnerabilidades, o Security Agent também possui o Security State Assessment Scans. Com isso, o Security Agent pode realizar scans agendados utilizando Security State Assessment Scans.

 

Baseado em critérios incluídos nas definições do Security State Assessment, o Forefront Client Security pode avaliar se os computadores clientes estão vulneráveis. Quando uma vulnerabilidade é encontrada, o Security Agent atribui uma pontuação e gera um evento. O Alert Agent envia o resultado da varredura para o Microsoft Operations Manager 2005 Alerting Engine, localizado no Central Management Server (Servidor Central de Gerenciamento). O Alerting Engine envia os resultados para uma base de dados do SQL Server 2005, que também está localizado no Servidor Central de Gerenciamento.

 

O Servidor Central de Gerenciamento auxilia os administradores a gerenciar e atualizar os agentes customizados ou pré-configurados de proteção contra malwares.

 

Estrutura

 

O Servidor Central de Gerenciamento gera relatórios utilizando o SQL Server 2005 Reporting Service e gera alertas sobre o status de segurança do ambiente baseado nos dados submetidos pelo Microsoft Operations Manager 2005 Alerting Engine.

 

Estrutura geral

 

Requisitos de hardware e software para o Forefront Client Security

 

Antes da implementação do Forefront Client Security em servidores, estações de trabalho e notebooks, é necessário verificar se o ambiente possui os requisitos mínimos de hardware e software.

Os requisitos podem variar de acordo com os fatores abaixo:

Segue a tabela com os requisitos básicos para o Forefront Client Security:

 

Tabela1

Hardware Processador/RAM Sistema Operacional Software HD
Management Server 1 GHz ou superior
1 GB of RAM ou mais		 Windows Server 2003 Standard Edition ou Enterprise Edition
x64 editions não são suportadas		 Microsoft .NET Framework 2.0
Microsoft Group Policy Management Console (GPMC) with SP1
Microsoft Internet Information Services (IIS) 6.0, Microsoft ASP.NET, and Microsoft FrontPage Server Extensions
Microsoft Management Console (MMC) 3.0		 512 MB ou mais
Collection server sem database 1 GHz ou superior
512 MB of RAM ou mais		 Windows Server 2003 Standard Edition/Enterprise Edition. X64 não é suportado N/A 1 GB ou mais
Collection server com database ou collection database server Dual 2 GHz ou superior
2 GB of RAM ou mais		 Windows Server 2003 Standard Edition ou Enterprise Edition
x64 editions não são suportadas		 Microsoft SQL Server 2005 with SP1 Enterprise Edition, incluindo Database Services and Workstation Components 30 GB ou mais
Reporting server sem database 1 GHz ou superior
512 MB of RAM ou mais		 Windows Server 2003 Standard Edition ou Enterprise Edition
x64 editions não são suportadas		 IIS 6.0, ASP.NET, e FrontPage Server Extensions 512 MB ou mais
Reporting server com database ou reporting database server 1 GHz ou superior
512 MB of RAM ou mais		 Windows Server 2003 Standard Edition ou Enterprise Edition
x64 editions não são suportadas		 SQL Server 2005 with SP1 Enterprise Edition, incluindo Database Services, Reporting Services, e Workstation Components 75 GB ou mais
Distribution server Verificar os requisitos para o serviço WSUS Windows Server 2003 Standard Edition ou Enterprise Edition
x64 editions não são suportadas		 .NET Framework 2.0
WSUS 2.0 with SP1
Verificar os requisitos para o serviço WSUS		 75 GB ou mais
Combinado: Management, collection, e reporting server Dual 2.85 GHz ou superior
4 GB of RAM ou mais		 Windows Server 2003 Standard Edition ou Enterprise Edition
x64 editions não são suportadas		 SQL Server 2005 with SP1 Enterprise Edition, incluindo Database Services, Reporting Services, e Workstation Components
.NET Framework 2.0
GPMC com SP1
WSUS 2.0
IIS 6.0, ASP.NET, e FrontPage Server Extensions
MMC 3.0		 100 GB ou mais
Combinado: Collection database e reporting database server Dual 2.85 GHz ou superior
4 GB of RAM ou mais		 Windows Server 2003 Standard Edition ou Enterprise Edition
x64 editions não são suportadas		 SQL Server 2005 with SP1 Enterprise Edition, incluindo Database Services, Reporting Services, e Workstation Components 100 GB ou mais
Combinado: Single-server production topology (todas as funções em apenas um servidor) Dual 2.85 GHz ou superior
4 GB of RAM ou mais		 Windows Server 2003 Standard Edition ou Enterprise Edition
x64 editions não são suportadas		 SQL Server 2005 with SP1 Enterprise Edition, incluindo Database Services, Reporting Services, e Workstation Components
.NET Framework 2.0
GPMC with SP1
WSUS 2.0 with SP1
IIS 6.0, ASP.NET, e FrontPage Server Extensions
MMC 3.0		 100 GB ou mais
Combinado: Single-server evaluation topology (todas as funções em apenas um servidor) 750 MHz ou superior
1 GB of RAM ou mais		 Windows Server 2003 Standard Edition ou Enterprise Edition
x64 editions não são suportadas		 SQL Server 2005 with SP1 Enterprise Edition, incluindo Database Services, Reporting Services, e Workstation Components
.NET Framework 2.0
GPMC with SP1
WSUS 2.0 with SP1
IIS 6.0, ASP.NET, e FrontPage Server Extensions
MMC 3.0		 100 GB ou mais
Client computer 500 MHz ou superior
256 MB of RAM ou mais		 Windows 2000 com SP4 e Update Rollup 1 and GDI+
Windows XP with SP2 com o filter manager rollup package
Windows Server 2003 com SP1 or superior
Microsoft Windows Vista Business
x64 editions não são suportadas
Tablet PC version of Windows não é suportado		 Windows Update Agent 2.0
Windows Installer 3.1		 350 MB ou mais

 

Considerações para a topologia de servidores apropriada

 

Após a verificação dos requisitos de software e hardware, é necessário escolher a topologia de servidores que será utilizada. Segue abaixo algumas considerações:

Implementando o Forefront Client Security

 

Existem vários tipos de topologias que podem ser utilizadas na implementação do Forefront Client Security. A topologia utilizada dependerá dos requisitos da empresa. Após o Forefront Client Security ser implementado, podemos implementar as políticas de segurança para configurar o antispyware, antivírus e as opções do State Assesment para os computadores clientes. Além disso, o Forefront Client Security suporta a administração remota, incluindo configurações, atualizações de assinatura, relatórios e alertas.

 

Caso algum produto de segurança já exista na organização, é recomendado que o Forefront Client Security seja implementado, e após sua implementação o produto existente deve ser removido. Isso deve ser feito primeiramente em um ambiente de testes. Após a validação dos testes, o Forefront Client Security pode ser implementado no ambiente de produção. Recomenda-se também que inicialmente um grupo de usuários seja selecionado para que a estratégia de implementação seja definida e os treinamentos sejam iniciados. Após verificar a estabilidade do produto nesse grupo de usuários, pode-se iniciar a implementação em todo o ambiente de produção. O ideal é que essa implementação seja feita em horários não críticos. Após a implementação ser concluída, possíveis servidores de antivírus existentes podem ser removidos da rede.

 

Implementando o Forefront Client Security em vários servidores

 

Após a topologia ser definida precisamos verificar como essa topologia será integrada com a infra-estrutura de TI atual da empresa. Por exemplo, caso a empresa já possua um servidor SQL instalado, depedendo da utilização desse servidor, não será necessário a instalação de um novo servidor SQL para o Forefront Client Security. A mesma lógica pode ser aplicada para o MOM.

 

A topologia single-server possui uma escalabilidade limitada. Caso a empresa ainda não possua um servidor SQL e um servidor MOM é recomendado que a topologia multiserver seja utilizada.

 

O procedimento para a instalação do Forefront Client Security em uma topologia multiserver é basicamente o mesmo utilizado na instalação em uma topologia single-server. A principal diferença é que determinadas funções serão instaladas em um servidor, e determinadas funções serão instaladas em outro servidor. Portanto, em uma topologia multiserver, durante a instalação do Forefront Client Security definimos quais funções serão instaladas no servidor. As funções podem ser distribuídas em 3, 5 ou 6 servidores.

 

Topologia com 3 servidores

 

Nesse tipo de topologia, as funções management, collection e reporting são instaladas em um servidor. A reporting database é instalada no segundo servidor e a função distribution é instalada no terceiro servidor. Observe que a collection database é instalada no servidor que possui as funções management, collection e reporting.

 

Topologia com 5 servidores

 

Nesse tipo de topologia, as funções management, collection, reporting e distribution são instaladas em servidores diferentes. Observe que a collection database e a reporting database são instalados no mesmo servidor, o qual é chamado de database server.

 

Topologia com 6 servidores

 

Nesse tipo de topologia, as funções management, collection, reporting, distribution, collection databases e reporting databases são instaladas separadamente, sendo uma função por servidor.

 

Métodos de distribuição do Forefront Client Security nos clientes

 

Antes de instalar o Forefront Client Security no computadores clientes é necessário verificar se os computadores possuem todos os pré-requisitos instalados. O pré-requisitos podem variar dependendo do sistema operacional. É necessário também configurar os clientes para obterem as atualizações (Automatic Updates) do distribution server e remover outros softwares de antivírus e anti-spyware que estejam instalados nos clientes.

 

Os métodos para distribuição do Forefront Client Security para os clientes são:

Verificando a instalação do Forefront Client Security

 

Após a instalação e configuração do Forefront Client Security, distribuição das Client Security policies, e distribuição do Forefront Client Security agent, podemos visualizar os relatórios para verificar se o Forefront Client Security está funcionando corretamente.
 
O console do Forefront Client Security possui links para vários relatórios relacionados ao estado e segurança da rede. Através desses relatórios pode-se verificar se o Forefront Client Security está distribuindo as Security policies corretamente, realizando scans e distribuindo as definições. Pode-se verificar também se os alertas e eventos estão sendo coletados. Tenha certeza de que os clientes possuem as Security policies corretas e estão reportando corretamente para o collection server.

 

Os seguintes relatórios possuem informações sobre a implementação do Forefront Client Security:

Introdução as Client Security Policies

 

Uma Client Security policy é uma coleção de configurações que podem ser aplicadas em um grupo de computadores. Para aplicar uma política nos computadores clientes, os seguintes passos são necessários:

A utilização de Group Policy é altamente recomendada pois facilitada a distribuição das políticas. Através da Group Policy é possível implementar configurações em grupos de usuários e computadores facilmente. Podem ser implementadas políticas baseadas no Registro e políticas de segurança. As políticas baseadas no Registro utilizam Administrative Templates para modificar as configurações do Registro.

 

Através do console do Forefront Client Security podemos gerenciar as políticas. Na aba Policy Managemet é possível criar, editar, copiar e deletar políticas.

 

Caso a empresa não utilize Group Policy, pode-se utilizar o Forefront Client Security para distribuir as políticas no formato de arquivos de registro. Este método exige que os arquivos de registros criados estejam disponíveis para os clientes. É necessário também executar um pequeno aplicativo em todos os computadores clientes que receberão as políticas. Esse aplicativo garante que as políticas serão aplicadas corretamente nos clientes.

 

Métodos de distribuição das Client Security Policies

 

Cada computador cliente pode ter apenas uma política aplicada. Através das GPO’s podemos aplicar as políticas em Unidades Organizacionais (OU’s) e em grupos de segurança (SG’s). Como já explicado anteriormente, caso a empresa não utilize GPO’s, podemos distribuir as políticas através de arquivos de registro. Seguem abaixo os detalhes de cada métodos de distribuição da políticas:

Através do relatório Deployment Summary podemos verificar quais computadores possuem a política aplicada através de arquivos de registro.

 

Quando você deletar ou interromper a aplicação de uma política que foi distribuída via arquivo de registro, o console exibirá as alterações, porém o Client Security não removerá o arquivo de registro. A política deve estar acessível para os computadores clientes nos quais a ferramenta fcslocalpolicytool.exe não foi executada para que o arquivo de registro da política seja desatribuída. Após ter certeza de que nenhum cliente está utilizando a política baseada no arquivo de registro em questão, o arquivo pode ser removido.

 

Links relacionados

Conclusão

 

É isso pessoal, espero que este artigo seja útil para todos. Em caso de dúvidas sobre o conteúdo deste artigo, ou para enviar sugestões sobre novos tutoriais que você gostaria de ver publicado neste site, entre com contato através de e-mail: fabianodesantana@terra.com.br ou contato@fabianosantana.com.br

_____________________________________________________________________________
Fabiano de Santana, bacharelado em Análise de Sistemas e Pós Graduado em Segurança da Informação, trabalha com TI a mais de oito anos. Realizou vários projetos, entre eles implementação do WSUS, migração de correio eletrônico, implementação do ISA Server 2004 e 2006, implementação de Lotus Notes, implementação de políticas de segurança, implementação do Active Directory, entre outros. Possui as certificações MCP, MCSA / MCSE 2000 Security, MCSA 2003 Security, MCSE 2003, Itil Foundation e IBM Certified System Administrator – Lotus Notes and Domino 7. Em 2008 foi nomeado MVP na categoria Windows Server Management Infrastructure.
Autor de e-books e artigos em parceria com o Julio Battisti há mais de quatro anos, moderador do Fórum de Windows e Certificações do site www.juliobattisti.com.br. Autor de artigos para o Technet Brasil e iMasters. Atua também como professor e autor de cursos para o site iPED.
Visite o site do autor: www.juliobattisti.com.br/fabiano ou www.fabianosantana.com.br

 
© Júlio Battisti, 2001 - 2010. Todos os direitos reservados.
É expressamente proibida a reprodução total ou parcial do conteúdo deste site e dos textos disponíveis, seja através de mídia eletrônica, impressa, ou qualquer outra forma de distribuição. Os infratores serão indiciados e punidos com base na lei nº 9.610 de 19/02/1998. Este tutorial só pode ser publicado no site www.juliobattisti.com.br e no site do Autor do tutorial. Nenhum outro site tem permissão para copiar e publicar este tutorial, mesmo que sejam mantidas todas as referências ao autor e ao site www.juliobattisti.com.br. Não é permitida a publicação deste tutorial em nenhum outro site.