1.3. FCS ile yüklenen yazılımlar

Microsoft Operations Manager (MOM) 2005 SP1: İstemcilerde çalışan yazılım bulduğu tüm tehditler, açıklıklar ve bunlar için yaptığı tüm işlemler için olay günlüğüne kayıt düşmektedir. FCS bütün bu kayıtların yönetilmesi ve merkezden verilen komutların istemcilerde gerçekleştirilebilmesi için MOM alt yapısını kullanmaktadır.

Microsoft Operations Manager 2005 Reporting Services: Toplanan kayıtlarla ilgili raporlama işlemlerinde MOM raporlama servisi kullanılmaktadır.

2. Kullanılacak Hesaplar

FCS’nin kurulumunu yapmak ve servislerini çalıştırmak için bazı hesaplara ihtiyaç vardır. Kurulum sırasında servis hesaplarına gerekli haklar verilmektedir fakat gerekli tüm hakların bilinmesi sorunların giderilmesinde faydalı olacaktır.

2.1. Kurulum hesabı

Kurulumun yapılacağı hesap tüm sunucular üzerinde yerel yönetici (local administrator) olmalıdır.

2.2. Servis hesapları

FCS ile kullanılması gereken servis hesapları, bu kullanıcı hesaplarının tipleri ve sahip olması gereken haklar aşağıdaki tabloda verilmiştir.

FCS Nasıl Çalışır?

Forefront Client Security, yönetim sunucusu ile raporlama ve uyarı gönderme sunucuları olarak iki sunucu tabanlı bileşen yoluyla kullanılır.

Yönetim sunucusu üzerinde çalışan merkezi konsol ile tarama zamanlaması, gerçek zamanlı korumanın etkinleştirilmesi ve devre dışı bırakılması, belirli tehditlere karşı varsayılan eylemler ve uyarı gönderme ve raporlama seviyeleri gibi bütün ayarlar yapılabilir. Ayarlar aktif dizin politikaları veya kayıt defteri dosyaları ile istemcilere dağıtılır.

En son çıkan kötü amaçlı yazılımlara karşı koruma sağlayabilmek için FCS Microsoft Windows Server Update Services (WSUS) kullanır. FCS istemcisinin kullanacağı kötü amaçlı yazılım tanımlarıyla ilgili güncelleştirmeler istemci bilgisayarlına WSUS ile dağıtılır. Ayrıca istemci programı da WSUS ile dağıtılarak bilgisayarlara otomatik olarak kurulabilir.

İstemci makinelerde meydana gelen olaylar için Windows olay günlüğünde kayıtlar yaratılır. Bu kayıtlar MOM ajanı tarafından raporlama ve uyarı gönderme sunucusuna aktarılır. Bu işlem için gerekli tüm MOM bileşenleri FCS kurulumu ile yüklenmektedir.

Forefront Client Security, Microsoft SQL Server’ın veritabanı ve raporlama sistemlerini kullanır. Bütün bu işlemler aşağıdaki şekilde bir döngü olarak gösterilmektedir.

FCS yönetimi Forefront Client Security Management Console üzerinden yapılmaktadır ve bu yönetim konsolu MMC 3.0 altyapısını kullanmaktadır. Konsolda iki sekme bulunmaktadır. Bunlardan ilki olan “Dashboard” yönetilen bilgisayarların durumlarını özet olarak gösteren bir arayüzdür. Ayrıca yönetilen istemciler için güvenlik taramaları buradan başlatılabilmektedir.

http://fentanyl.files.wordpress.com/2008/12/image002.png -

FCS yönetim konsolunda “Dashboard” sekmesi

Yönetim konsolunun diğer sekmesi FCS ile ilgili ayarların yapılıp politikaların oluşturulduğu “Policy Management” sekmesidir. Burada yeni politika oluşturulabilir, var olan politikalarda değişiklikler yapılabilir, politikaların uygulanması veya kaldırılması işlemleri gerçekleştirilebilir. Ayrıca bu bölümden politikalarla ilgili raporlara erişmek de mümkündür.

http://fentanyl.files.wordpress.com/2008/12/image003.png -

FCS yönetim konsolunda politika yönetim sekmesi

FCS Politika Ayarları

FCS politikalarının ayarlarının yapılabildiği pencerede beş farklı sekme bulunmaktadır.

1. Genel Ayarlar

“General” sekmesi ilgili politikayla ilgili tanımları gösterir. Politika ismi, politikanın nereleri uygulandığı ve politika ile ilgili yorumlar buradan görülebilir.

“Protection” bölümünde zararlı yazılımlardan korunma, yapılacak taramalar ve güvenlik değerlendirmeleri ile ilgili ayarlar bulunur. Aşağıdaki şekilde de görüldüğü gibi virüs koruması ve casus yazılım koruması ayrı ayrı devreye alınıp iptal edilebilmektedir. Düzenli taramalarla ilgili ayarlar da buradan yapılabilir. Ayrıca güvenlik durumu değerlendirmesi (security state assesment) ayarları da bu sekmede bulunmaktadır. Güvenlik durum değerlendirmesi zararlı yazılımların dışında istemcideki güvenlik ayarlarını ve yama eksikliklerini de denetler. İstemcide bulduğu ayarları kendi tanımlarında bulunan ayarlarla karşılaştır ve bulduğu açıklıklara yüksek,orta, düşük, bilgi ve hata değerlerinden birini atar. Bu taramaların sonuçları daha sonra raporlar halinde görüntülenebilmektedir. Yapılan tüm testler aşağıda verilmiştir:

• Windows sürüm denetimi
• Otomatik güncelleme denetimi
• Güvenlik güncellemeleri denetimi
• Tamamlanmamış güncelleme denetimi
• Anonim erişim denetimi
• Dosya sistemi denetimi
• Otomatik oturum açma denetimi
• Mevcut paylaşımların denetimi
• Gereksiz servilerin denetimi
• Misafir hesabı denetimi
• Yöneticilerin denetimi
• Şifre sürelerinin denetimi

Güvenlik durum denetlemeleri ve diğer teknik detaylarla ilgili daha geniş bilgi Forefront Client Security TechCenter, http://technet.microsoft.com/en-us/library/bb418845.aspx - Technical Reference sayfasından alınabilir.

“Advanced” sekmesinde FCS istemcilerinin nasıl davranacağını belirleyen önemli ayarlar bulunmaktadır. Zararlı yazılımlara karşı koruma sağlayan programların başarılı olması için gerekli en önemli etkenlerden biri tarama motorunun ve virüs tanımlama veritabanının güncel olmasıdır. Bu sekmede tanım güncellemeleri ile ilgili önemli ayarlar bulunmaktadır. FCS tanım güncellemelerini istemcilere dağıtmak için WSUS kullanılmaktadır. Tarama başlamadan önce tanımların güncellemelerinin kontrol edilmesi seçeneği (Check for updates before starting scan) işaretlendiğinde istemci WSUS sunucusuna bağlanıp yeni tanımları kontrol edecektir. Burada önemli diğer bir ayar da WSUS sunucusuna ulaşılamadığında internet üzerinden Microsoft Update kullanılmasına izin verilmesidir (Check for updates on Microsoft Update when WSUS is unavailable). Bu seçenek işaretlendiğinde istemci, kullandığı WSUS sunucuya erişemezse internet üzerinden Microft Update sitesine bağlanıp tanım güncellemelerini kontrol edecektir.

Bu sekmedeki diğer kritik ayarlar istemci seçenekleri (Client options) altındaki ayarlardır. Burada kullanıcının programın hangi ayarlarını değiştirebileceği belirlenmektedir. Zararlı yazılım korumasının sürekli olarak sağlanması için kullanıcıların ayarları değiştirmesine ve istisnalar eklemesini izin vermemek gerekir.

“Overrides” sekmesi FCS istemcisinin tehditlere karşı verdiği varsayılan tepkileri değiştirmek için kullanılan bir bölümdür. Buradan bir tehdide karşı veya belirli bir sınıf tehdide karşı verilecek tepkiler değiştirilebilir. Mevcut tehdit sınıfları, tipleri ve verilebilecek tepkiler aşağıdaki tablodaki gibidir.

“Reporting” sekmesi istemcilerde yapılan taramalar sonucu üretilen uyarıların hangi seviyedekilerin raporlanacağının belirlendiği sekmedir. Burada “Highest”, “High”, “Medium”, “Low” ve “Lowest” olmak üzere 5 uyarı seviyesi bulunmaktadır. Bu uyarı seviyelerine göre istemciden oluşan olaylar raporlama sunucusuna iletilmektedir.

Bir önceki bölümde belirtilen ayarların hepsi birer Windows kütük ayarıdır. Bunun için hazırlanan politikaların istemcileri uygulanması grup ilkeleri ve kütük dosyaları ile yapılabilir. Bu yollardan merkezi yönetim açısından en kolay ve en sağlıklı olanı grup ilkesi yöntemidir. FCS gerekli grup ilkelerini otomatik olarak oluşturmakta ve istenilen yerlere otomatik olarak uygulamaktadır. Aşağıdaki şekilden de görüleceği gibi FCS politikalarını içeren grup ilkesi aktif dizindeki bir organizasyonel birime, bir gruba veya mevcut bir grup ilkesi nesnesine uygulanabilmektedir.

Politika uygulama penceresinde politikaların bir dosyaya aktarılması seçeneği de bulunmaktadır. Bu seçenek seçildiğinde FCS gerekli ayarları içeren bir kütük dosyası yaratmaktadır. Bu ayarlar “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Forefront\Client Security\1.0″ kütük anahtarı altındaki değerlerdir. FCS ile ilgili tüm kütük değerleri, bu değerlerin ne işe yaradıkları ve bu değerlere verilebilecek değerler Forefront Client Security TechCenter, http://technet.microsoft.com/en-us/library/bb418845.aspx - Technical Reference sayfasında bulunabilir.

Microsoft Forefront Client Security tek bir noktadan koruma sağlamayı hedefleyen, yönetimi ve güncellemesi kolay, raporlama yetenekleri üstün bir üründür. Microsoft zararlı yazılımlarla mücadele pazarında kendi ürünleriyle entegrasyon avantajını kullanarak FCS ile yer edinemeye çalışacaktır.